En un descubrimiento reciente, se descubrió que más de 50.000 sitios de WordPress que utilizan el popular complemento «Uncanny Automator» son vulnerables a ataques de escalada de privilegios.
Esta alarmante falla permite a los usuarios autenticados, incluso aquellos con acceso mínimo a nivel de suscriptor, elevar sus privilegios al estado de administrador, lo que representa una grave amenaza para la seguridad del sitio web.
El 5 de marzo de 2025, el investigador de seguridad Mikemyers descubrió esta vulnerabilidad, oficialmente denominada falla de carga arbitraria de archivos, en el complemento Uncanny Automator.
Este complemento, conocido por mejorar la automatización y los flujos de trabajo para los sitios web de WordPress, no logró implementar comprobaciones de capacidad adecuadas en su código base.
La vulnerabilidad se debió a la falta de comprobaciones de autorización para ciertos puntos finales de la API REST, lo que permite a los atacantes con cuentas de sitio válidas explotar funciones que modifican los roles de los usuarios.
Una vez explotados, estos atacantes podrían escalar sus propios roles a administradores, otorgándoles acceso sin restricciones al sitio.
Desde la instalación de complementos maliciosos hasta la redirección de usuarios a sitios web fraudulentos, los daños potenciales incluyen el compromiso total del sitio.
Sitios de WordPress vulnerables
El núcleo del problema radica en dos funciones dentro del complemento: add_role() y user_role().
Estas funciones manejan la asignación de roles pero carecen de una validación adecuada, lo que permite a los atacantes con cuentas de usuario de nivel de suscriptor manipular roles.
Sin suficientes medidas de seguridad en la función validar_rest_call(), estos puntos finales de API quedaron expuestos, lo que permitió la escalada de privilegios con un mínimo esfuerzo.
La vulnerabilidad fue catalogada como CVE-2025-2075 y se le asignó una puntuación CVSS alta de 8,8 (sobre 10), lo que indica su naturaleza crítica. Wordfence Intelligence confirmó el exploit de prueba de concepto y detalló las fallas técnicas subyacentes.
El equipo de Uncanny Owl, desarrolladores del complemento, respondió rápidamente después de enterarse de la falla el 11 de marzo de 2025. Luego de la divulgación, el equipo implementó dos parches para solucionar el problema:
- El 17 de marzo de 2025, se lanzó la versión 6.3.0.2 como parche parcial.
- El 1 de abril de 2025, estuvo disponible la versión 6.4.0 completamente parcheada, que resolvió todas las vulnerabilidades.
Wordfence, el proveedor líder de seguridad de WordPress, implementó medidas de protección para sus usuarios premium antes del 7 de marzo de 2025. Los usuarios gratuitos de Wordfence tendrán acceso a la misma protección a partir del 6 de abril de 2025.
Esta vulnerabilidad ha llamado la atención debido a sus implicaciones generalizadas. Se insta a los administradores de los sitios web afectados a que actualicen su complemento Uncanny Automator a la última versión segura, 6.4.0, sin demora.
Mantener los complementos actualizados es fundamental para mitigar los riesgos que plantean vulnerabilidades como la escalada de privilegios.
Además, los usuarios de Wordfence Premium, Wordfence Care y Wordfence Response ya han recibido reglas protectoras de firewall, lo que les ofrece tranquilidad frente a posibles exploits.
El descubrimiento de esta falla muestra la importancia de la colaboración entre investigadores de seguridad y desarrolladores de complementos.
Mikemyers, el investigador que informó sobre la vulnerabilidad, ganó $1,065.00 a través del Programa Wordfence Bug Bounty, lo que refleja el compromiso de la industria para fortalecer la seguridad de WordPress.
Wordfence enfatizó su dedicación a fomentar la defensa en profundidad e invertir continuamente en la investigación de vulnerabilidades. Al asociarse con investigadores capacitados, la empresa tiene como objetivo salvaguardar el ecosistema de WordPress a través de medidas proactivas.
La vulnerabilidad de Uncanny Automator sirve como un claro recordatorio de la importancia del mantenimiento regular del sitio web y la vigilancia de la seguridad. Con más de 50.000 instalaciones activas en riesgo, los propietarios de sitios deben actuar con rapidez para proteger sus sitios web y sus datos.
Parchea tus sistemas. Actualice sus complementos. Haga correr la voz para garantizar la seguridad de la comunidad de WordPress en general.
Para quienes utilizan Uncanny Automator, la actualización a la versión 6.4.0 no es negociable y se recomienda encarecidamente implementar herramientas de seguridad integrales como Wordfence.
