Primer fallo de seguridad REAL en WordPress 2.5

Tweet about this on TwitterShare on Google+Share on FacebookEmail this to someonePrint this page

Después del rumor que conocimos hace unos días de un posible fallo de seguridad, José Carlos Nieto ha reportado un fallo de seguridad que sólo afecta a WordPress 2.5 y sólo en determinadas circunstancias.

Este fallo ha sido anunciado en securityfocus con los detalles suficientes para poder comprobar que la amenaza es real, además de contrastado por Blogsecurity.net.

Básicamente el fallo consiste en que si hacemos una instalación de WordPress 2.5 y dejamos el valor de la clave secreta (variable SECRET_KEY del archivo wp-config.php) con su valor predeterminado o usamos una palabra conocida (cualquiera que se pueda encontrar en un diccionario de cualquier idioma), estaremos dejando una puerta abierta para que un atacante pueda mediante una cookie falsa hacerse con un acceso de administrador de nuestro blog.

Realmente, al menos en mi opinión, lo veo más como un fallo causa del descuido del usuario al instalar que como un fallo de la aplicación. Pero sea imputable al usuario o al diseño de la aplicación, la realidad es que si estás usando un WordPress 2.5, deberías comprobar qué valor tiene la variable SECRET_KEY de tu archivo wp-config.php y en todo caso darle un valor con caracteres aleatorios (por ejemplo generando una cadena de texto de al menos 12 caracteres con cualquier generador de contraseñas).

Añadir, no obstante, que al margen esta vulnerabilidad descubierta, hay en el track de WordPress un par de tickets de seguridad de los que no he visto comentar a nadie… relativos a la habilidad de crear nuevos usuarios obtenida por usuarios a los que no se les ha asignado dichos privilegios (ticket 6566 y ticket 6662).

Me pregunto que dirán ahora todos los blogs que han estado o están haciendo campaña para que todo el mundo se actualice inmediatamente a WordPress 2.5 sin esperar a la versión 2.5.1 como si les fuera la vida en ello…

5 pensamientos en “Primer fallo de seguridad REAL en WordPress 2.5

  1. MOPE

    Hola, pues eso no debe afectar a todos, porque he revisado varios wp-config.php de distintos blogs y no disponen de esa cadena denominada Secret_key, lo más parecido es DB_password

  2. Samuel Aguilera

    Si el archivo no tiene esa variable, según la descripción del fallo que se ha reportado, sería como conservar el valor predeterminado de la variable SECRET_KEY.

    Por lo que a efectos prácticos entiendo que, sí, un blog con WP 2.5 y sin esa clave definida en el archivo de configuración es vulnerable.

  3. jact

    Pues, desde mi punto de vista de desarrollador de aplicaciones web, pienso que sí es un fallo de la aplicación. Lo más lógico es que, durante el proceso de instalación, el script generara un valor aleatorio para esa variable y que dejara el valor escrito en el fichero de configuración.

    De esta forma, se conseguiría tener un valor diferente en cada instalación (en cada servidor) y se ahorraría trabajo a los usuarios (que no tienen por qué conocer las tripas del código, ni que tienen que modificar manualmente ese parámetro tras hacer la instalación).

    Definitivamente, punto negativo para los desarrolladores de WP.

  4. Pingback: Fallo de seguridad en WordPress 2.5 « Un poco de mucho

Deja un comentario

Tu dirección de email no será publicada. Campos obligatorios marcados con *