Pregunta sobre Arreglando WordPress de Wordpress:

vulnerabilidad admin-ajax.php? ¡Me piratearon!

Un usuario preguntó 👇

Hola a todos,

Mi blog (que se ejecuta en WordPress 4.9.8) se sorprendió recientemente: una persona logró crear dos nuevos usuarios con roles de administrador. Actualmente estoy tratando de averiguar cómo surgieron. Así es como se ve el registro de acceso en el momento en que se generó la nueva cuenta de usuario:


xx - - [08/Nov/2018:13:39:33 +0100] "GET / HTTP/1.1" 200 17229 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
xx - - [08/Nov/2018:13:39:33 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 53 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64
) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
xx - - [08/Nov/2018:13:39:34 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 53 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64
) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
xx - - [08/Nov/2018:13:39:36 +0100] "POST /wp-login.php?action=register HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 6.1; W
OW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
xx - - [08/Nov/2018:13:39:36 +0100] "GET /wp-login.php?checkemail=registered HTTP/1.1" 200 1395 ".
com/wp-login.php?action=register" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safa
ri/537.36"
109.234.37.214 - - [08/Nov/2018:13:39:36 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 53 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64
) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
xx - - [08/Nov/2018:13:39:37 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 53 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64
) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"

Para mí esto implica que debe haber algún tipo de vulnerabilidad en admin-ajax.php ya que es el único archivo al que se accede antes de que se confirme el registro. ¿Quizás alguien tiene una idea de lo que pasó?

Ya he tomado medidas para proteger mi blog. Afortunadamente, recibí una notificación por correo electrónico cuando un nuevo usuario se registró, lo que me hizo sospechar: deshabilité el registro de usuario en mi blog. Después de iniciar sesión, vi a 2 nuevos usuarios enumerados como administradores que inmediatamente eliminé. También aseguré mi blog configurando la autenticación básica para wp-login.php y / wp-admin, y bloqueé cualquier dirección IP excepto la mía para que no acceda a ninguna de las páginas.

Este tema fue modificado hace 2 años, 3 meses por.

(@sterndata)

Moderador del foro y voluntario del equipo de apoyo

Hace 2 años, 3 meses

Si está utilizando un plugin GDPR en particular, actualícelo de inmediato.

Lanzador de hilos

(@mzzz)

Hace 2 años, 3 meses

¡Gracias! He desactivado el plugin GDPR y no lo volveré a usar.

(@sterndata)

Moderador del foro y voluntario del equipo de apoyo

Hace 2 años, 3 meses

La versión lanzada hoy corrige la vulnerabilidad.

(@mmaunder)

Hace 2 años, 3 meses

El plugin GDPR es un exploit a través de admin-ajax.php, por lo que sus registros muestran que el vector es _may_. Pero son aplicaciones posteriores, por lo que no vemos la carga útil.

Más información aquí: https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *