Una vulnerabilidad crítica ha sido descubierta en uno de los plugins más populares de la plataforma de gestión de contenidos WordPress, lo que ha puesto a más de un millón de sitios web en riesgo de ser completamente secuestrados por atacantes.

La vulnerabilidad reside realmente en la mayoría de las versiones de un plugin de WordPress llamado Wettable Powder Slimstat (WP-Slimstat). Si bien hay más de 70 millones de sitios web en Internet que están ejecutando WordPress, más de 1.3 millones de ellos utilizan el plugin "WP-Slimstat", haciéndolo  uno de los plugins más populares de WordPress para análisis web en tiempo real.

Todas las versiones WP-Slimstat anteriores a la última versión (Slimstat 3.9.6) contienen una clave "secreta" fácil de adivinar que se utiliza para firmar los datos enviados desde y hacia los equipos de usuario final, según se explica en una publicación de la firma de seguridad web Sucuri.

Una vez que la clave secreta es descubierta, un atacante podría ejecutar un ataque de inyección SQL en el sitio web objetivo con el fin de apoderarse de información altamente sensible de la base de datos de la víctima, incluyendo contraseñas cifradas y las claves de cifrado utilizadas para administrar remotamente los sitios web.

"Si tu sitio web utiliza una versión vulnerable del plugin, estás en riesgo", escribió Marc-Alexandre Montpas, Investigador Senior de Vulnerabilidades en Sucuri.

"Una explotación exitosa de este fallo podría dar lugar a ataques de inyección Blind SQL, lo que significa que un atacante podría tomar la información sensible de tu base de datos, como lo son nombres de usuario, contraseñas en forma de hash y, en ciertas configuraciones, claves secretas de WordPress (que podría resultar en la toma del control total sobre el sitio)."

La clave secreta de WP-Slimstat es solo un hash MD5 de la marca de tiempo de la instalación del plugin. Con el uso de sitios como Internet Archive, un atacante podría identificar fácilmente el año en que un sitio web vulnerable fue puesto en Internet.

Esto deja un atacante con cerca de 30 millones de valores a probar, que podrían completarse en unos 10 minutos con la mayoría de las CPU modernas. Una vez que la clave secreta ha sido detectada, el atacante puede utilizarla para obtener datos sensibles de la base de datos.

Se ha solicitado a los usuarios que ejecutan sus sitios web en el sistema de gestión de contenidos de WordPress y que tienen este popular plugin WP-Slimstat instalado, actualizar sus sitios web de inmediato con el fin de protegerlos de esta peligrosa vulnerabilidad.