Genérico 2min de Leitura - 17 de septiembre de 2020

Plugin de WordPress para el cumplimiento de la RGPD genera vulnerabilidad en 700mil sitios web

This post is also available in: Português Español

Plugin de WordPress que ayuda en la adaptación a la Ley General de Protección de Datos en Europa, presentó fallas que dejaba a los sitios web más expuestos a ataques de hackers. El problema ya fue corregido, bastando con actualizar el plugin.

En mayo del 2018 entró en vigor, en la Unión Europea, el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). Esta es una ley que estipuló diversas reglas sobre cómo las empresas y los órganos públicos deben tratar a los datos personales de la población.

En Brasil, la Ley General de Protección de Datos (LGPD) entrará en vigencia el próximo mes de agosto. Con relación a esto, surgieron diversas herramientas para auxiliar a los sitios web en su adaptación. Una de ellas es el plugin de la plataforma WordPress, o GDPR Cookie Consent. Se trata de un medio de ayuda a las empresas para que exhiban banners de cookies para mostrar que están en conformidad con el nuevo reglamento de privacidad del viejo continente.

Pero, al mismo tiempo, la solución dejaba vulnerabilidades que, si eran aprovechadas, podrían permitir que los invasores modificaran el contenido, o hasta inyectaran un código JavaScript malicioso en los sitios web de las víctimas. Más de 700mil direcciones tienen una instalación activa de este plugin, lo que literalmente deja a centenas de miles de páginas de internet a merced de los criminales.

Todavía sin registro en la CVE (la lista pública mundial de fallas de seguridad), esta vulnerabilidad afecta el GDPR Cookie Consent versión 1.8.2 y sus versiones anteriores. Después de que los desarrolladores fueron notificados sobre la falla, el plugin de consentimiento de cookies de la GDPR fue removido del directorio de plugins de WordPress.org.

Además, recibió una nota que decía “pendiente por una revisión completa”, de acuerdo con la página del directorio del plugin. La nueva versión 1.8.3 fue lanzada por Cookie Law Info, el desarrollador del plugin, hace unos pocos días.

La vulnerabilidad se debía a controles de accesos incorrectos utilizados no plugin AJAX API del WordPress, que es un sistema libre y abierto para gestión de contenidos de internet, basado en PHP con banco de datos MySQL, ejecutado en un servidor interpretador, dirigido especialmente a la creación de páginas electrónicas y blogs online. El método “_construct”, dentro del plugin, es utilizado para iniciar el código de objetos recién creados.

No obstante, existían fallas en las verificaciones del código que permitió que este plugin, que daba acceso solamente a los administradores, fuese usado por suscriptores para realizar una serie de acciones que podrían comprometer la seguridad del sitio web. Un suscriptor es un tipo de usuario del WordPress, que generalmente cuenta con recursos muy limitados, incluyendo el login del sitio web y el permiso para agregar comentarios.

El método “_construct” acepta tres valores diferentes de API AJAX. Dos de ellos, save_contentdata y autosave_contant_data, podrían ser aprovechados por invasores. El método save_contentdata es usado para permitir que los administradores salven avisos de cookies GDPR en el banco de datos como una clase de postaje en la página.

Sin embargo, como este método no está verificado, un usuario o suscriptor logueado (que accede al sistema) puede modificar cualquier página o publicación existente y dejarlos offline, alterando su estatus de “publicado” a “borrador”.

Además de eso, es posible eliminar o alterar los datos de los posts. El contenido insertado podría incluir texto formateado, imágenes locales o remotas, además de hiperlinks y códigos de acceso.

El otro método, autosave_contant_data, es usado para salvar la página de informaciones de cookie GDPR en segundo plano en cuanto el administrador la edita, almacenando los datos en el campo del banco de datos cli_pg_content_data sin validarlo.

Pero, por falta de verificaciones de ese método podría permitir que un usuario autenticado inyectar el código JavaScript en la página web. Los investigadores que descubrieron el problema piden a los usuarios de ese plugin de WordPress que lo actualicen lo más rápido posible. La vulnerabilidad fue corregida en la versión 1.8.3, y se recomienda usar las más reciente disponible.

This post is also available in: Português Español