Skip to main content

Exposición del archivo XMLRPC

Descripción: En su forma más simple, XML-RPC (llamada a procedimiento remoto) se creó para la comunicación entre plataformas. Este protocolo solía realizar llamadas a procedimientos utilizando HTTP como transporte y XML como codificador. El cliente realiza estas llamadas enviando una solicitud HTTP al servidor y recibe la respuesta HTTP a cambio. XML-RPC invoca funciones a través de una solicitud HTTP y luego estas funciones realizan algunas acciones y envían respuestas codificadas a cambio.


Con el archivo xmlrpc.php habilitado, un actor malintencionado, puede aprovechar las llamadas a procedimeitos remotos (RPC) e invocan funciones para obtener los datos que desean. En la mayoría de los sitios de WordPress, el xmlrpc.php es facilmente rastreable, y con solo enviar datos XML arbitrarios, pueden lograr a controlar el sitio para ejecutar código que han preparado para ejecutar un determinado tipo de ataque.


Solución a la exposición de xmlrpc.php

Severidad: Baja

Solución:


Puede hacer esto simplemente agregando el bloque de código dentro de su .htaccess. Asegúrese de hacer esto antes de las .htaccessrules que nunca cambian agregadas por WordPress.


<Files xmlrpc.php>

	
order allow,deny

	
deny from all


</Files>


Esto deshabilitará el xmlrpc.phparchivophp archivo para cada aplicación o servicio que lo use. Puede incluir en la lista blanca una determinada dirección IP en caso de que aún desee acceder a su sitio de WordPress a través de XMLRPC. Para eso, necesitas agregar el siguiente comando:


<Files xmlrpc.php>


<RequireAny>

	
Require ip 1.1.1.2

	
Require ip 2001:db8::/32


</RequireAny>


</Files>


5. Plazo:


Debido a que la vulnerabilidad tiene riesgo de seguridad BAJO, se solicita mitigar la vulnerabilidad en un plazo de 10 días calendario (hasta el DD/MM/AAAA) a partir de la presente comunicación, si la solución requiere más tiempo, debe solicitar una ampliación razonable justificando los motivos en respuesta al presente correo.


Posterior a la fecha solicitada o ampliada se realizara el seguimiento para conocer el estado de solución. De no tener respuesta satisfactoria a la comunicación y seguimiento, se procederá a informar el caso a la Máxima Autoridad Ejecutiva de su institución detallando las acciones que se realizaron para solucionar la vulnerabilidad.


Por último solicito comunicar la solución de la vulnerabilidad por este medio para efecutar la verificación y posterior cierre del caso.


Saludos cordiales,

Back to top