WordPress <= 6.9.1 - Unauthenticated Blind Server-Side Request Forgery via XML-RPC Pingback Discovery

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en WordPress versiones hasta 6.9.1, que permite a un atacante no autenticado realizar solicitudes maliciosas a través de XML-RPC. Esta vulnerabilidad tiene una severidad media y un puntaje CVSS de 5.8.

Contexto técnico

La vulnerabilidad se origina en el mecanismo de descubrimiento de pingbacks de XML-RPC, que puede ser manipulado para enviar solicitudes a servidores internos o externos sin la debida autenticación. Esto puede permitir a un atacante acceder a información sensible o realizar acciones no autorizadas en el servidor.

Impacto potencial

El impacto potencial incluye el acceso no autorizado a recursos internos, lo que podría comprometer la seguridad de la instalación de WordPress y afectar la integridad de los datos. Esto puede resultar en pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes específicamente diseñadas a la funcionalidad de pingback de XML-RPC, lo que les permite hacer que el servidor realice solicitudes a otros destinos sin autenticación.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar WordPress a la versión 6.8.4 o superior. Además, se sugiere deshabilitar XML-RPC si no es necesario para el funcionamiento del sitio, y aplicar medidas de seguridad adicionales como firewalls y restricciones de acceso.

Señales de detección

Señales que pueden indicar explotación incluyen registros de solicitudes inusuales a la funcionalidad de XML-RPC, especialmente aquellas que intentan acceder a recursos internos o que generan respuestas inesperadas.

Alcance afectado

Las versiones de WordPress afectadas son aquellas anteriores a la 6.8.4, incluyendo todas las versiones hasta la 6.9.1.