Aikido

RCE sem autenticação no núcleo do WordPress (wp2shell), através de injeção de SQL

Escrito por
Dania Durnas

As injeções SQL continuam a ser uma ameaça. A 17 de julho, o WordPress lançou uma atualização de segurança de emergência. A versão 7.0.2 corrige uma falha de execução remota de código sem autenticação no núcleo do WordPress, que um atacante anónimo pode explorar numa instalação padrão, sem qualquer plugin envolvido. Se o seu site estiver a utilizar uma versão afetada, atualize-o ainda hoje. O WordPress.org ativou as atualizações automáticas obrigatórias para os sites afetados, devido à gravidade desta falha. Estamos a acompanhar esta vulnerabilidade no Aikido .

Adam Kues, da Searchlight Cyber, comunicou a falha e publicou um verificador no site wp2shell.com para que possa verificar se o seu site está vulnerável. (No entanto, o site tem estado fora de serviço ocasionalmente.) O próprio aviso do núcleo do WordPress descreve-o como um problema de confusão entre rotas de lote da API REST e de injeção de SQL que conduz à execução remota de código, com o ponto final de lote em /wp-json/batch/v1 como ponto de entrada. A Searchlight estima que mais de 500 milhões de sites utilizam o WordPress, pelo que o número de sites vulneráveis é elevado.

Obter a versão correta é a principal prioridade. Se utilizar Aikido , o seu firewall integrado foi concebido para bloquear a injeção SQL em que esta falha se baseia; assim, um site sem a correção mantém uma defesa em tempo de execução enquanto a atualização é implementada.

Versões afetadas

A falha de execução remota de código afeta:

  • WordPress 6.9.0 a 6.9.4, corrigido na versão 6.9.5
  • WordPress 7.0.0 a 7.0.1, corrigido na versão 7.0.2
  • WordPress 7.1 beta, corrigido na versão 7.1 beta2

Qualquer versão anterior à 6.9.0 não está vulnerável à RCE. O WordPress 6.8 está exposto a um problema distinto de injeção de SQL, corrigido na mesma atualização, pelo que os sites que utilizam a versão 6.8 devem atualizar para a versão 6.8.6. As versões anteriores à 6.8 não são afetadas por nenhum destes problemas.

O que fazer agora

Atualize o WordPress imediatamente. A versão 7.0.2 contém a correção, ou a 6.9.5, caso esteja a utilizar a ramificação 6.9. A maioria dos sites com atualizações em segundo plano ativadas irá recebê-la automaticamente, mas deve confirmar a versão no seu painel de controlo, em vez de partir de suposições.

Se não for possível atualizar imediatamente, o comunicado enumera algumas medidas temporárias. Pode instalar um plugin que bloqueie o acesso não autenticado à API REST, bloquear tanto o caminho /wp-json/batch/v1 e o parâmetro de consulta rest_route=/batch/v1 no seu WAF, ou adicione um pequeno plugin obrigatório que exija autenticação na rota REST de processamento em lote. Cada uma destas medidas pode interferir com o tráfego legítimo da API REST, pelo que deve tratá-las como uma solução temporária até aplicar a correção.

Esta falha é monitorizada no Aikido , o nosso serviço de atualizações em tempo real que identifica novas vulnerabilidades e malware nos ecossistemas de código aberto

proteção em tempo de execução Aikido

Esta é a segunda falha de injeção SQL numa única versão do núcleo do WordPress. Há anos que os programadores afirmam que a injeção SQL é um problema resolvido, mas continua a assombrar-nos. Continua a surgir no software principal e nas dependências, sendo frequentemente acessível a utilizadores anónimos antes de ser corrigida.

Aikido é uma firewall incorporada que funciona no interior da sua aplicação e inspeciona os dados introduzidos pelo utilizador à medida que estes fluem para a sua base de dados. Bloqueia a injeção de SQL, a injeção de comandos e o traversal de caminho em tempo de execução, e instala-se com apenas algumas linhas de código. O Zen foi concebido para detetar este tipo de ataque — a injeção de SQL impulsionada por dados introduzidos pelo atacante — à medida que o pedido é processado. Para equipas que não conseguem aplicar correções assim que surge uma vulnerabilidade «zero-day», essa camada de tempo de execução mantém a defesa enquanto implementam a correção de acordo com o vosso próprio calendário.

Aplica primeiro a correção. Executa o Zen, para que a próxima injeção não autenticada tenha onde parar.

Acompanhamento de vulnerabilidades com Aikido

Esta falha é monitorizada no Aikido , juntamente com os outros problemas do núcleo do WordPress corrigidos na mesma versão. O Intel é um feed em tempo real que analisa os novos lançamentos nos ecossistemas de código aberto à medida que são publicados, incluindo o WordPress, e identifica vulnerabilidades e malware em poucos minutos, muitas vezes antes de estes chegarem às bases de dados CVE públicas.

Se já utiliza o Intel, os alertas do WordPress já se encontram no seu feed, pelo que pode acompanhar este e quaisquer outros que surjam sem ter de consultar uma dúzia de fontes. O feed está aberto e pode ser consultado gratuitamente em intel.aikido.dev, estando disponível sob uma licença de código aberto e através de uma API comercial, caso pretenda importar os dados para as suas próprias ferramentas.

Compartilhar:

https://www.aikido.dev/blog/unauthenticated-rce-in-wordpress-wp2shell

Verificar por malware

Comece Gratuitamente
4.7/5
Cansado de falsos positivos?

Experimente Aikido como 100 mil outros.
Começar Agora
Obtenha um tour personalizado

Confiado por mais de 100 mil equipes

Agende Agora
Escaneie seu aplicativo em busca de IDORs e caminhos de ataque reais

Confiado por mais de 100 mil equipes

Iniciar Escaneamento
Veja como o pentest de IA testa seu aplicativo

Confiado por mais de 100 mil equipes

Iniciar Testes

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.