Reinicio de contraseña de admin en WP 2.8.3 y previas (actualizado)

11ago

Reinicio de contraseña de admin en WP 2.8.3 y previas (actualizado)

Si aún te preguntas porque debes actualizar WordPress a la nueva versión, actualmente la 2.8.3, debes saber que las versiones anteriores tienen un fallo de seguridad que puede facilitar que alguien – malintencionadamente – reinicie la contraseña del administrador (sea el nombre de usuario ‘admin’ u otro) aún sin un email válido autorizado.

Es tan sencillo como hacer lo siguiente:

Se envía un cambio de dirección de email o nombre de usuario a través de este formulario:

/wp-login.php?action=lostpassword ;

WordPress envía una confirmación para reiniciarlo a través del típico email:

“
Alguien ha solicitado reiniciar la contraseña del siguiente sitio y usuario.

http://DOMAIN_NAME.TLD/wordpress

Username: admin
Para reiniciar tu contraseña visita la siguiente dirección, en caso contrario simplemente ignora este email y no pasará nada

http://DOMAIN_NAME.TLD/wordpress/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag

”

Si se hace clic en el enlace WordPress reinicia la contraseña de administrador y envía otro email con los nuevos datos de acceso.

Así es como funciona:

wp-login.php:
...[snip]....
line 186:
function reset_password($key) {
    global $wpdb;
    $key = preg_replace('/[^a-z0-9]/i', '', $key);
    if ( empty( $key ) )
        return new WP_Error('invalid_key', __('Invalid key'));
    $user = $wpdb-&gt;get_row($wpdb-&gt;prepare(&quot;SELECT * FROM $wpdb-&gt;users WHERE user_activation_key = %s&quot;, $key));
    if ( empty( $user ) )
        return new WP_Error('invalid_key', __('Invalid key'));
...[snip]....
line 276:
$action = isset($_REQUEST['action']) ? $_REQUEST['action'] : 'login';
$errors = new WP_Error();
if ( isset($_GET['key']) )
    $action = 'resetpass';
// validate action so as to default to the login screen
if ( !in_array($action, array('logout', 'lostpassword', 'retrievepassword', 'resetpass', 'rp', 'register', 'login')) &amp;&amp; false === has_filter('login_form_' . $action) )
    $action = 'login';
...[snip]....
line 370:
break;
case 'resetpass' :
case 'rp' :
    $errors = reset_password($_GET['key']);
    if ( ! is_wp_error($errors) ) {
        wp_redirect('wp-login.php?checkemail=newpass');
        exit();
    }
    wp_redirect('wp-login.php?action=lostpassword&amp;error=invalidkey');
    exit();
break;
...[snip ]...

Puedes incluso reiniciar la clave de admin enviando un array a la variable $key.

Puedes incluso hacer una prueba de concepto. Solo necesitas el navegador web para reproducirlo:

http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=

La contraseña se reiniciará sin confirmación alguna.

Da miedo ¿verdad?~~, pues actualiza coño.~~, pues revisa lo que viene a continuación …

Actualización: esta vulnerabilidad también afecta a la versión 2.8.3 y se puede solucionar como indica Martín:

Abre el fichero wp-login.php y su sustituye esta línea …

if ( empty( $key )  )

por esta otra …

if ( empty( $key ) || is_array( $key ) )

Si por cualquier motivo no te funciona este “hack” prueba a bajar la versión modificada del archivo wp-login.php del trac, con el problema solucionado, como ha hecho Ferticidio.

Esta vulnerabilidad ya la están aprovechando varios indeseables que no tienen nada mejor que hacer así que no te lo tomes a la ligera.

Para saber más:

por Fernando en Seguridad, Wordpress.org constraseña, Exploit, PHP, Seguridad, WordPress 2.8, wordpress 2.8.3

Pingback: Bitacoras.com
http://g30rg3x.com/ g30rg3_x

El problema incluye a la version 2.8.3…
Actualmente no hay revision oficial que tenga resuelto el problema solo parches:
http://core.trac.wordpress.org/changeset?old_path=%2Ftags%2F2.8.3&old=11804&new_path=%2Fbranches%2F2.8&new=11804

Saludos

http://fernandotellado.com/ Fernando Tellado

Gracias por el aviso amigo

Pingback: Twitted by PlanetaWP
http://www.edinsonsabogal.com Sabogal

¿Para actualizar de 2.8.2 a 2.8.3 es necesario subir todos los archivos o sólo algunos?
http://tintafantasma.net The Ghost

Es raro porque me acaba de suceder, pero en un blog actualizado a la versión 2.8.3 :S
http://tintafantasma.net The Ghost

Acabo de probarlo con un blog que tengo, el Dashboard dice You are using WordPress 2.8.3. y aún asi pude reinciarle la contraseña sin necesidad del email de validación.
Será que el wordpress 2.8.3 también es vulnerable??

http://fernandotellado.com/ Fernando Tellado

Lo es, repasa el post que hay solución sencilla

http://www.viajesdominicana.com viajar dominicana

da miedo de verdad
http://www.dondado.es/ Dondado

Parece que están afectadas todas las versiones, incluida la 2.8.3 http://www.martinaberastegue.com/seguridad/nueva-vulnerabilidad-wordpress-2-8-3.html

http://fernandotellado.com/ Fernando Tellado

Gracias por el aviso, acabo de actualizar el post con la solución

Pingback: Reinicio de contraseña de admin en WordPress < 2.8.3
http://virtualizado.net virtualizado

Esto afecta tambien a la rama 2.7.x?

http://fernandotellado.com/ Fernando Tellado

Parece ser que no, solo a la rama 2.8.x

emip3

Fer, sos un groso… GRACIAS!
http://www.pcnovatos.com jordi

y si no existe el usuario admin? también es vulnerable?

http://fernandotellado.com/ Fernando Tellado

Buena pregunta, yo tampoco uso el usuario ‘admin’ por defecto pero no lo he probado. Por si acaso aplica el hack por si las moscas o limita el acceso por IP como explicaba ayer. Para probar siempre hay tiempo.

http://rafacampoamor.es/ Rafael P. Campoamor

A mi me han hecho el hack y mi único usuario administrador no se llama admin, de hecho ‘admin’ no existe en mi blog…

http://fernandotellado.com/ Fernando Tellado

Pues ya tenemos la respuesta. Gracias por el aviso Rafa

http://piernodoyuna.com/ piernodoyuna

Perdonad por mi ignorancia, se supone que el problema es solo si el administrador tiene como nick “admin”? Porque si es por eso, no seria mas facil entrar a traves de phpmyadmin y cambiar el nick del administrador en la tabla users?

http://fernandotellado.com/ Fernando Tellado

Acaba de comentar Rafa que también afecta.

Pingback: La blogosfera bajo ataque (Actualizado con solucion al problema) | Ferticidio's
http://ferticidio.com Ferticidio

Che a mi no me funciono eso.
Y tambien me afecta sin tener el usuario “admin”
http://pitonizza.com Pitonizza

Yo tampoco tengo el user por default “admin”, y aún así salí afectada. Por favor, corrijan. Una pregunta para Fernando, esta vulnerabilidad afecta a versiones 2.7.x?

En serio, gracias por poner tan fácil la explicación, que hasta yo pude solucionarlo. Mil mil mil gracias.

http://fernandotellado.com/ Fernando Tellado

Relee los comentarios, que ya se comentó que también afecta a usuarios administradores que no sean “admin”. Y no, no afecta a la rama 2.7.x

http://pitonizza.com Pitonizza

Ah, perdón, acabo de leer la respuesta a mi pregunta lineas más arriba, estoy muy alterada y asustada. :S
http://ferticidio.com Ferticidio

Listo el hack aplicado al archivo no me funciono, nose porque, yo solo copie y pegue.
Pero bajando el archivo desde http://core.trac.wordpress.org/changeset/11798?format=zip&new=11798 (Paciencia que media blogocosa esta intentando hacerlo) ya no me resetea el password

http://fernandotellado.com/ Fernando Tellado

A mi me bajó rápido el fichero de sustitución. En un blog he recibido el aviso de cambio de clave pero lo he recibido yo afortunadamente, y ya he aplicado el cambio de fichero.

http://www.summarg.com Nekko

Muchas gracias! Comprobado que eso arregla el agujero de seguridad. Estoy actualizando mis sitios y a seguir propagando esta info. Grande Martín aportando la solución!
Pingback: Vulnerabilidad Wordpress 2.8.3 y su solución | Tinta Fantasma
http://g30rg3x.com/ g30rg3_x

@Fernando Tellado…
No es que la solucion que veo todos estan usando no sea segura, pero se han aumentado los cambios (se ha vuelto mas estricta en esta parte para no solo mitigar el caso de los arreglos cualquier otro), asi que deberian aplicar los cambios 11800 y 11804… ya he dejado en mi comentario anterior como bajar el archivo con los cambios necesarios (asi como ya he posteado informacion al respecto en mi blog) para así solo reemplazar con el actual y parcheado segun el equipo de wordpress (mas bien segun ryan).

Saludos

http://fernandotellado.com/ Fernando Tellado

Gracias por la aclaración

Afortunadamente ya está disponible la 2.8.4

Pingback: Forzar reinicio de contraseñas | Summarg
Pingback: Tonta vulnerabilidad en Wordpress « Mundo Binario
Pingback: Bug: Reseteo de contraseña en WordPress 2.8.3 y previas
Pingback: WordPress 2.8.4A | Ayuda WordPress
http://www.iluminet.com.mx Dianasolapas

Como siempre, gracias, ya actualizé mis blogs al 2.8.4, pero si utilizo /wp-login.php?action=lostpassword ;
me sigue apareciendo el recuadro para poner mi nombre de usuario y mail.
¿hay algun modo de evitarlo?
Lo que si: http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key= me da una respuesta de “invalid key”

Bueno esto parece que nos ha puesto a trabajar y actualizarnos bastante más pronto de lo usual.
Saludos

Diana
Pingback: Ya se encuentra disponible WordPress 2.8.4 | SuperUsuario
Pingback: Mas problemas de seguridad en Wordpress 2.8.x | El Blog de Pablo Pando
Pingback: Vulnerabilidad en Wordpress 2.8.x | 2bGeek
Pingback: WordPress reporta falla crítica de seguridad « Gnostopia Hoy
Pingback: Culto Geek » Blog Archive » WordPress 2.8.4 corrigiendo más problemas de seguridad
Juan

Hola, muy buena la info.

Me llamó la atención que usaras el termino “indeseables” que usaba yo hace años en mi sitio Seguridad en Internet 2.0, alguna relación?

Muy bueno el blog

Saludos!
Pingback: 11 consejos para proteger el área de administración de WordPress | Incubaweb
Pingback: 11 consejos para proteger el área de administración de WordPress : Blogografia
Pingback: 11 maneras de proteger la administración de WordPress | Ayuda WordPress
Pingback: WordPress 2.8.4 — Eddy Ramos blog
Pingback: 11 consejos para proteger el área de administración de WordPress | Youbbie