Fecha: 29/10/2020
Loginizer es un plugin de WordPress que ofrece funcionalidades de seguridad en los sitios donde esté instalado, tiene como principal función ayudar a luchar contra los ataques de fuerza bruta, bloqueando el inicio de sesión de la IP luego de que se alcanza un número máximo de intentos permitidos, entre otras características de seguridad que permite la herramienta
Este plugin es uno de los más populares de WordPress y se encuentra instalado en más de 1 millón de sitios.
¿Qué pasó?
El equipo de seguridad de WordPress ha lanzado una actualización de seguridad que aborda una vulnerabilidad crítica (calificación de riesgo 9.8), que afecta a las versiones anteriores a 1.6.4 del plugin Loginizer, identificada con el CVE-2020-27615. Este fallo podría ser aprovechado por un atacante no autenticado para inyectar sentencias SQL arbitrarias y posteriormente comprometer el sitio web de WordPress.
El fallo trata de una vulnerabilidad de inyección SQL, que se da debido a una sanitización insuficiente de los datos proveídos por el usuario en las funciones “loginizer_login_failed” y “lz_valid_ip” que se encuentran dentro de la funcionalidad de protección de fuerza bruta, la cual se encuentra activada por defecto en todos los sitios donde Loginizer esté instalado.
Para la explotación exitosa de este fallo, un atacante remoto podría intentar iniciar sesión en un sitio de WordPress utilizando un nombre de usuario mal formado, en el que puede incluir sentencias SQL. Así cuando el inicio de sesión falle, el plugin Loginizer registrará dicho intento fallido en la base de datos del sitio junto con el nombre de usuario sin sanitización previa, permitiéndole al atacante ejecutar código contra la base de datos de WordPress.
Debido a la extrema gravedad de esta vulnerabilidad, el equipo de seguridad de WordPress decidió actualizar forzosamente los sitios con Loginizer instalado, a la versión 1.6.4, mediante la característica “forced plugin update”. Gracias a esto, aproximadamente el 89% de los sitios vulnerables han sido actualizados con los parches de seguridad.
Dichos parches de seguridad también solucionan otros problemas de sanitización de datos que podrían llevar a vulnerabilidades de XSS (Cross-site Scripting), las cuales no han sido detalladas.
Recomendaciones:
- Actualizar el plugin Loginizer a última versión disponible, en este caso la versión 1.6.4, disponible desde el siguiente enlace.
Referencias:
- https://wordpress.org/support/topic/loginizer-1-6-4-unauthenticated-sql-injection/#post-13565632
- https://plugins.trac.wordpress.org/changeset/2401010/loginizer
- https://wpscan.com/vulnerability/10441
- https://www.zdnet.com/article/wordpress-deploys-forced-security-update-for-dangerous-bug-in-popular-plugin/
- https://www.cybersecurity-help.cz/vdb/SB2020102201