[Vulnerabilidades] Ejecución de Código Remoto en WinRAR, Drupal y WordPress

Se descubrieron vulnerabilidades que permiten la ejecución de comandos remotos que afectan a WinRAR, Drupal y WordPress. Estas vulnerabilidades se dieron a conocer dentro de esta última semana y se recomienda estar atentos a las publicaciones de los fabricantes.

WordPress 

La vulnerabilidad se encuentra en la funcionalidad de carga de imágenes, específicamente el problema está en el tratamiento de los metadatos de las imágenes adjuntas. Para poder ser explotada se requiere estar autenticado y con tipo de perfil específico. La vulnerabilidad está presente hace más de 6 años y se ha estado mitigando de forma parcial.

El detalle de la vulnerabilidad se puede leer en el blog de RipsTech: WordPress 5.0.0 Remote Code Execution.

Winrar

Esta vulnerabilidad afecta a todas las versiones de Winrar, y de ser explotada puede tomar el control total del equipo en cuestión. De acuerdo a investigadores, este fallo no es nuevo, ya que estaría desde aproximadamente 19 años (como dato, este software se creó en 1993)

¿Por qué no la parcharon antes? ¿En qué consistía?

Simple, perdieron el código fuente en 2005. El fallo se encuentra en una librería de terceros llamada UNACEV2.DLL. Esta librería permite descomprimir archivos que están comprimidos en formato ACE.

Un atacante podría renombrar un archivo ACE otorgándole una extensión .RAR logrando que el programa extraiga un archivo malicioso en la carpeta de inicio. ¿Qué significa esto? Que se ejecutará de manera automática la próxima vez que se reinicie el equipo y permitirá al atacante tomar control total.

La buena noticia, es que ya se notificó a la empresa del programa de des y compresión de archivos, a lo que respondieron lanzando un beta (Winrar 5.70) que reparar la problemática. Más de 500 millones de personas utilizan este programa en todo el mundo; nuestra recomendación es actualizar cuanto antes.

Drupal

Mediante el sitio oficial de Drupal, se puede leer el aviso de seguridad, en el cual se explica que existe una vulnerabilidad que permite ejecución de código remoto. En el anuncio se hace referencia al CVE-2019-6340 y SA-CORE-2019-003.