Torniamo a parlare di plugin e temi molto diffusi e di pericolose vulnerabilità che sono state riscontrate al loro interno.
Le segnalazioni vengono anche questa volta dal database di Wordfence e in totale riguardano oltre un milione e 600 mila utenti tra utilizzatori dei plugin vulnerabili e chi ha scaricato i temi a rischio.
Plugin pericolosi
Cominciamo con le due segnalazioni che riguardano il plugin Ninja Forms e il plugin Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder. Il primo plugin è diffuso su circa 800 mila siti web mentre il secondo è stato installato oltre 300 mila volte.
È importante sottolineare che le vulnerabilità non sono legate tra loro ma sono state semplicemente scoperte temporalmente vicine. Anche perché si tratta di vulnerabilità molto diverse tra di loro. Per quello che riguarda Ninja Forms, la vulnerabilità è una forma particolare di Cross-Site Scripting: una Reflected Cross-Site Scripting.
È una vulnerabilità che per essere sfruttata da un utente con intenzioni malevole ma ha bisogno di qualche passaggio preliminare ma questo non la rende meno pericolosa. La vulnerabilità, chiamata anche Reflected XSS, consente infatti a un utente malevolo che riesca a ottenere un accesso collegandosi, come una sorta di parassita, a un utente legittimo di livello admin di entrare e ovviamente poter fare ciò che vuole del sito web, dati i privilegi che l’account admin possiede.
Come dicevamo però c’è bisogno che l’utente che è stato preso di mira, quello che è stato individuato quindi come admin del sito WordPress, compia determinate azioni come per esempio cliccare su un link che consenta l’avvio della attività illegale. La vulnerabilità al momento è in fase di valutazione e non c’è quindi un punteggio che la identifichi sulla classica scala usata anche da Wordfence da 1 a 10.
Diverso è il discorso per il plugin di contatto Fluent Forms. Qui sappiamo che la vulnerabilità è classificata con 4.2 su 10, si tratta quindi di una vulnerabilità di media pericolosità ma di nuovo nessuna vulnerabilità andrebbe mai sottovalutata.
Nel caso del plugin Fluent Forms c’è una autorizzazione che manca e che consentirebbe di modificare un eventuale API a piacimento. Per poter portare a termine un attacco è però necessario che l’utente malevolo ottenga una autorizzazione di livello subscriber.
Questo significa che si tratta di una vulnerabilità che può colpire solo quei siti WordPress in cui è attiva una procedura per cui ci si può iscrivere a un servizio o a una sezione specifica del sito web. Per entrambi i plugin sono state rilasciate nel frattempo le versioni aggiornate. Se utilizzi Ninja Forms devi avere la versione 3.8.14 mentre il plugin Fluent Forms deve essere aggiornato almeno alla versione 5.2.0.
Problemi con questi temi WordPress
Come accennavamo nell’introduzione, oltre ai due plugin per i quali sono stati riscontrati problemi ci sono due temi che a loro volta potrebbero risultare una minaccia al tuo sito web. Si tratta del tema Betheme e del tema Enfold. Il primo è stato venduto poco più di 306 mila volte mentre il secondo tema è stato venduto circa 260 mila volte.
Siamo quindi a oltre 500 mila potenziali siti web nei guai. Il tema Betheme contiene una vulnerabilità di tipo PHP Object Injection mentre il tema Enfold è risultato affetto da una vulnerabilità Stored Cross-Site Scripting. La vulnerabilità del tema Betheme metterebbe un utente malevolo con credenziali di accesso livello contributor nelle condizioni di inserire un oggetto PHP.
In caso di catena POP, il problema potrebbe trasformarsi nella possibilità di cancellare file, eseguire stringhe di codice oppure raccogliere dati sensibili. Il tema è stato aggiornato ed è quindi necessario assicurarti di avere l’ultima versione.
Per quello che riguarda il tema Enfold per ora non c’è un aggiornamento ed è quindi necessario essere ancora più cauto e attento se noti comportamenti strani intorno al tuo sito WordPress. La vulnerabilità del tema Enfold è una di tipo Stored Cross-Site Scripting e può mettere utenti malevoli in possesso di credenziali di livello contributor nelle condizioni di inserire script web nelle pagine e quindi trasformare un sito innocuo in una trappola per gli utenti finali che potrebbero utilizzarlo.
Se stai utilizzando il tema e hai paura che la vulnerabilità potrebbe essere utilizzata, fino a quando non verrà rilasciato un eventuale aggiornamento l’unica soluzione è quella di cambiare temporaneamente il tema che utilizzi.
