La empresa de ciberseguridad WPScan y la United States Government National Vulnerability Database (Base de Datos Nacional de Vulnerabilidades del Gobierno de los Estados Unidos) publicaron un aviso sobre una vulnerabilidad descubierta en el plugin de HubSpot para WordPress. La vulnerabilidad expone a los usuarios del plugin a un ataque de falsificación de solicitud del lado del servidor.

El plugin de HubSpot para WordPress

Utilizado por más de 200.000 editores, el plugin gratuito de HubSpot para WordPress es uno de los más populares de esta plataforma. Proporciona a un sitio web capacidades relacionadas con CRM, chat en vivo, formularios, analítica y marketing por correo electrónico.

Te permite convertir los visitantes a tu sitio web en leads gracias su chat en vivo, los formularios o ventanas emergentes; atraer clientes potenciales a través de un CRM, email marketing o chatbots, y realizar un seguimiento de la evolución de tu negocio con analítica.

El informe de vulnerabilidad de WPScan

Los investigadores de seguridad de WPScan publicaron el siguiente informe:

informe wpsacan vulnerabilidad plugin HubSpot para WordPress

En él expplican que el plugin no valida la URL del proxy proporcionada al endpoint del proxy, lo que podría permitir a los usuarios con la capacidad edit_posts (como colaborador predeterminado y superior) realizar ataques SSRF.

La vulnerabilidad SSRF

La vulnerabilidad SSRF (Server Side Request Forgery o Vulnerabilidad de Falsificación de Solicitud del Lado del Servidor), requiere que un suscriptor con el nivel de colaborador inicie sesión para que ocurra la exposición.

Según la OWASP (Open Web Application Security Project) organización mundial sin ánimo de lucro dedicada a ciberseguridad, una vulnerabilidad SSRF puede provocar la exposición de servicios internos que no están destinados a estar expuestos.

Tal como explica la OWASP: “En un ataque de falsificación de solicitud del lado del servidor (SSRF), el atacante puede abusar de la funcionalidad en el servidor para leer o actualizar los recursos internos. El atacante puede proporcionar o modificar una URL a la que el código que se ejecuta en el servidor leerá o enviará datos, y al seleccionar cuidadosamente las URL, el atacante puede leer la configuración del servidor, como los metadatos de AWS, conectarse a servicios internos como bases de datos http habilitadas o realizar solicitudes posteriores a servicios internos que no están destinados a ser expuestos”.

Los servicios que se supone que no deben estar expuestos son:

    • Metadatos del servidor en la nube
    • Interfaces HTTP de base de datos
    • Interfaces REST internas
    • Archivos: el atacante puede ser capaz de leer archivos usando <archivo://> URI

El informe de WPScan indica que la vulnerabilidad se solucionó en la versión 8.8.15. Sin embargo, el registro de cambios que documenta lo que se actualizó en el software muestra que el plugin recibió actualizaciones adicionales para corregir otras vulnerabilidades.

A continuación, una lista de las actualizaciones según el registro de cambios oficial, en orden comenzando con la actualización más antigua:

actualizaciones plugin de HubSpot para WordPress

Por lo tanto, sería aconsejable actualizar el plugin de HubSpot para WordPress al menos a la versión 8.9.20. Aunque la última versión absoluta del complemento, al momento de escribir este artículo, es la versión 8.11.0.

Francesc es el responsable de Content Marketing de Sinapsis. Con más de diez años de dedicación al copywriting ha acumulado una gran experiencia en diversos temas aunque su mayor pasión sigue siendo el marketing online. Friky de corazón, ha encontrado en el SEO una nueva forma de seguir "jugando".