Vulnerabilidad crítica en complemento de WordPress pone en riesgo a más de 10,000 sitios, incluyendo 1,145 portales del gobierno mexicano
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
Un análisis reciente realizado por la unidad de investigación de SILIKN identificó una crítica vulnerabilidad en Eventin, un complemento ampliamente utilizado para la gestión de eventos en WordPress, con más de 10,000 instalaciones activas.
La falla permitía que usuarios no autenticados obtuvieran acceso con privilegios administrativos en los sitios afectados, exponiéndolos a un riesgo cibernético considerable.
El problema se originaba en el punto final de la API REST del complemento, ubicado en /wp-json/eventin/v2/speakers/import. Debido a la ausencia de controles adecuados de permisos, cualquier persona podía aprovechar esta funcionalidad para escalar sus privilegios sin necesidad de autenticación.
La función encargada de validar los permisos, import_item_permissions_check(), estaba mal implementada, ya que retornaba siempre true sin realizar ninguna verificación real, facilitando así el acceso no autorizado.
Esta debilidad podía ser explotada mediante la carga de un archivo CSV que incluyera información de un usuario y su rol deseado. Al procesarse dicho archivo, el sistema creaba un nuevo usuario con privilegios administrativos, permitiendo incluso a un atacante tomar el control completo del sitio al restablecer contraseñas.
El problema fue corregido en la versión 4.0.27 del complemento Eventin, la cual introduce una verificación robusta de permisos en la función afectada, además de implementar una lista blanca de roles válidos durante el proceso de importación.
De los más de 10,000 sitios vulnerables detectados, la unidad de investigación de SILIKN logró identificar 1,145 portales pertenecientes a dependencias del gobierno mexicano que se encuentran en riesgo. Entre estas instituciones se incluyen:
- Ayuntamiento de Playa del Carmen, Quintana Roo
- Municipio de Atotonilco el Grande, Hidalgo
- Consejo Nacional de Normalización y Certificación de Competencias Laborales
- Gobierno Municipal de San Juan de los Lagos, Jalisco
- Gobierno de Chapala, Jalisco
- Programa “Mujeres con Bienestar” del Estado de México
- Alcaldía de Cuajimalpa de la Ciudad de México
- Secretaría de Cultura de Guerrero
- Ayuntamiento Constitucional de Jilotepec, Estado de México
- Gobierno del Estado de Oaxaca
- Municipio de San Pedro Yolox, Oaxaca
- Municipio de Santiago Tianguistenco, Estado de México
- Comisión Mexicana de Filmaciones
- Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento de Cajeme, Sonora
- Ayuntamiento de Atlacomulco, Estado de México
- Instituto de la Educación Básica del Estado de Morelos
- Municipio de Sahuaripa, Sonora
- Municipio de Singuilucan, Hidalgo
Este incidente subraya la importancia de contar con una gestión adecuada de permisos en las plataformas digitales. Por ello, se invita a todas las dependencias de gobierno que utilicen el complemento Eventin en sus sitios web a verificar su configuración actual y aplicar, a la brevedad posible, la actualización a la versión 4.0.27 o superior, con el fin de reducir riesgos y prevenir accesos no autorizados.
La actualización corrige una vulnerabilidad crítica que podría ser explotada por actores maliciosos para obtener control total sobre el sitio. Reforzar estas medidas es fundamental para proteger la información institucional y garantizar la continuidad operativa.
Para más información, visite: https://www.silikn.com/