Recibimos la noticia desde DaboBlog y tras leer la noticia original en Desvarios informaticos realizamos una serie de comprobaciones.

Si bien en muchos servidores el bug no puede realizarse debido a mecanismos auxiliares de seguridad, no deja de ser una puerta abierta a la realización de graciosas pruebas por parte de script kiddies.

La realidad, es que si el servidor tiene determinadas configuraciones muy comunes en muchos servidores de hosting compartido, el exploit es muy duro, y con unas pequeñas modificaciones al fichero demo para la ejecución del exploit, en menos de 30 segundos se puede dejar un servidor totalmente tumbado.

Lo peor, es que la gente de WordPress no ha contestado aun, y es por ello que el descubridor del error, lo ha hecho publico.

En nuestras pruebas hemos visto que afecta a versiones desde la actual hasta las primeras en la que se usa este trozo de código.

Solución

Editar el fichero wp-trackback.php

$charset = $_POST['charset'];

Cambiar por:

$charset = str_replace(“,”,”",$_POST['charset']);
if(is_array($charset)) { exit; }

Demo exploit

No la publicamos. Ya es bastante que este en un sitio

Aunque el nivel de riesgo indicado por Secunia es elevado, los desarroladores de WordPress lo presentan como un riesgo menor, no por ello han lanzado la revision 2.63, en forma de fichero completo, aunque han puesto a disposición de los usuarios el fichero afectado, así como el fichero de versión e WordPress, que son los únicos que deberán ser sustituidos.

1. wp-includes/class-snoopy.php
2. wp-includes/version.php

El exploit permite al atacante la inyección de código SQL pudiendo modificar los datos, explotar otras vulnerabilidades patentes o dejar una puerta abierta a futuros ataques.

A la fecha de publicación no hay respuesta de los desarrolladores sobre el exploit, y se encuentra en una fase muy avanzada de propagación en la red.

Se publican pruebas de concepto.

La inyección SQL es posible por un despiste en lso filtrados en el envio de los comentarios en la variable post ID.

El Cross-Site Scripting  por un despiste en el filtrado o sanitización o por el escape varias opticiones.

El Cross-Site Request Forgery es causado por un despiste en la opciones del formulario.
Se publica prueba de concepto, y aunque la fecha es de ayer, la nueva versión disponible 1.4.4 no aclara si es precisamente una revisión a estas vulnerabilidades.

Este plugin ya ha destacado por ser el ganador del concurso de plugins de WordPress, WordPress Plugin Competition 2.5, y de la polémica de este premio a raíz de los múltiples errores en distintas instalaciones de usuarios, que provocan el mal funcionamiento de WP o del propio plugin, como podemos ver en MangasVerdes

Según la nota, son vulnerables las versiones existentes desde la 2.6 y no se conoce parche o respuesta oficial.

Se publica prueba de concepto que una vez más dependerá de la configuración del servidor web y de las contramedidas existentes para este tipo de fallos de programación.

Con la apertura de registro activada, es posible en WordPress 2.6.1 y versiones anteriores crear un nombre de usuario tal que permita reiniciar otra contraseña del usuario a una contraseña generada aleatoriamente. La contraseña no es revelada al atacante, por lo que este problema por sí es molesto pero no una garantía exploit. Sin embargo, este ataque junto con una debilidad en la la generación de números aleatorio en mt_rand () puede utilizarse para predecir la contraseña generada aleatoriamente. El ataque es difícil de lograr, pero su mera posibilidad medios recomendamos actualizar a 2.6.2.

Otros cambios en la lista de cambios de WordPress