La vulnerabilidad en los endpoints de la API REST es la responsable de más de un millón de ataques de vandalismo e intentos de monetizar estos ataques, además de abrir las puertas a otro tipo de ataque. 

Investigadores de la empresa de seguridad Sucuri revelaron que es posible usar esta vulnerabilidad para realizar un ataque XSS.

El error que permite almacenar ataques XSS fue reparado la semana pasada en el núcleo de Wordpress en la actualización de seguridad 4.7.3. Marc Montpas. Un investigador de Sucuri reportó que un atacante al modificar una página web usando algún exploit para la vulnerabilidad en los endpoints de la API REST, también pudo haber almacenado código malicioso.

“Combinado con la reciente vulnerabilidad que encontramos para inyectar contenido es posible para un atacante poder modificar de forma remota un post aleatorio en el sitio y almacenar código malicioso de Javascript en él. Este código se ejecutará cuando un visitante vea el post y cuando alguien edite el post desde el dashboard de Wordpress. Como resultado, un administrador intentará arreglar el post modificado y, sin saberlo, activará el script malicioso que podrá ser usado para colocar una puerta trasera en el sitio y crear nuevos usuarios administradores.”

Este problema no fue solucionado hasta la versión 4.7.3 porque no podía ser usado sin el fallo original para inyectar contenido en la REST API y se necesitaba poseer privilegios de contribuidor en Wordpress.

Montpas explicó que durante la investigación de la vulnerabilidad REST API, él descubrió cómo la función para embeber código en Wordpress puede sobrepasar algunos obstáculos puestos por la función wp_kses(), la cual limita las etiquetas HTML que alguien puede insertar en un post.

Específicamente, Montpas mencionó que la función youtube_embed_url era particularmente útil para crear un escenario donde un atacante puede dejar un ataque XSS almacenado que se puede ejecutar después. “Cuando un administrador visita el post afectado, el efecto del ataque XSS se ejecutará y puede forzar al navegador a realizar acciones administrativas como almacenamiento de puertas traseras en el sitio y crear nuevas cuentas administrativas. Esta vulnerabilidad por sí sola no es muy riesgosa porque requiere que el atacante tenga permisos específicos en el sitio, pero combinada con la vulnerabilidad encontrada el mes pasado en la REST API, que permite básicamente a cualquier persona modificar los post de un sitio, podría haber causado un problema”.

La vulnerabilidad REST API permite a un atacante con solo una línea de código acceder a la API y cambiar contenido del sitio y URL permanentes. El problema reside en la forma en la que REST API administra el acceso, esto lo hace favoreciendo valores de GET y POST en vez de los valores existentes. Cualquier petición con letras en sus ID traspasará la revisión de permisos y esencialmente otorga privilegios de administrador a un atacante.

Los investigadores recomiendan que los administradores de Wordpress no deshabiliten las actualizaciones automáticas, y asegurarse que las actualizaciones 4.7.2 y 4.7.3 estén instaladas.