Anche per questo mese di giugno abbiamo deciso di esaminare quelle che sono le vulnerabilità più gravi che sono state riscontrate e segnalate nei plugin utilizzati sui siti costruiti con WordPress.
Il mese di giugno è stato purtroppo particolarmente nefasto proprio per alcuni elementi aggiuntivi che, cosa piuttosto anomala, sono risultati affetti da problemi talmente tanto gravi che Wordfence, punto di riferimento per quello che riguarda l’analisi della sicurezza dei plugin e degli elementi di WordPress, ha dovuto classificare le vulnerabilità con un tondo dieci su dieci.
Cinque plugin affetti da Injected Backdoor
La prima segnalazione riguarda in realtà cinque plugin diversi che però sono risultati tutti quanti affetti dalla stessa tipologia di vulnerabilità: una di tipo Injected Backdoor. I cinque plugin sono: BLAZE Retail Widget, Contact Form 7 Multi-Step Addon, Simply Show Hooks, Social Sharing Plugin – Social Warfare e Wrapper Link Elementor.
Di questi cinque plugin tutti sono stati aggiornati tranne Simply Show Hooks, per il quale non sono al momento state rilasciate versioni che eliminano la vulnerabilità. Ma di che cosa si tratta? Si tratta di una compromissione portata a compimento utilizzando script PHP.
Non si tratta quindi di una minaccia potenziale quanto di una cosa che è realmente accaduta. Un soggetto malevolo infatti è riuscito a compromettere, così si legge nella scheda relativa a questa vulnerabilità su Wordfence, il codice sorgente di questi plugin e ha inserito stringhe di codice che permettono di estrarre credenziali dai database.
Questa estrazione permette la creazione di un nuovo utente, o anche di più nuovi utenti, con permessi da amministratore. Il che significa che mette qualunque soggetto malevolo nelle condizioni di fare ciò che vuole all’interno del widget o del plugin.
wpDataTables – Tables & Table Charts e Dokan Pro
Altri due plugin per WordPress affetti da una vulnerabilità ritenuta critica, e classificata quindi come 10 su 10, sono Dokan Pro e wpDataTables – Tables & Table Charts. Entrambi questi plugin sono affetti da un problema di tipo Unauthenticated SQL Injection.
Un problema che, attraverso un parametro e ad una mancanza di neutralizzazione degli elementi speciali nelle query SQL, consente a un utente malevolo non autenticato di aggiungere query a quelle già in atto e quindi, così facendo, estrarre dati sensibili dai database. È importante sottolineare, come fa Wordfence, che il problema è riscontrato solo nella versione premium.
Il plugin wpDataTables – Tables & Table Charts è stato aggiornato e per avere la sicurezza di non essere esposti devi scaricare la versione 6.3.2. Anche il plugin Dokan Pro è stato aggiornato e la versione sicura è la numero 3.11.0.
Checkout Field Editor for WooCommerce (Pro)
Il plugin Checkout Field Editor for WooCommerce (Pro) è affetto da una vulnerabilità di poco sotto il 10. È stata infatti classificata 9.8 ed è comunque critica. Il problema è di tipo Unauthenticated Arbitrary File Deletion.
Questo tipo di anomalia permette a utenti non in possesso delle credenziali di accesso di eliminare file a piacimento con in più la possibilità anche di aggiungere una esecuzione remota di codice malevolo. La vulnerabilità si genera perché il plugin non è in grado di validare in maniera corretta i file prima di cancellarli. Le versioni affette sono fino alla 3.6.2 e la versione aggiornata e corretta è la 3.6.3.
WooCommerce – Social Login
Il plugin WooCommerce – Social Login è risultato affetto da una vulnerabilità di tipo Unauthenticated PHP Object Injection valutata 9.8 su 10. La vulnerabilità consente di inserire oggetti PHP da parte di soggetti malevoli non in possesso delle credenziali di accesso ai siti web.
Come specificato nella pagina relativa alla vulnerabilità su Wordfence, non ci sono POP chain nel software affetto da questa vulnerabilità ma, nel caso ci fossero, al problema della iniezione di oggetti PHP potrebbe aggiungersi anche l’eliminazione di file, l’estrazione di dati sensibili degli utenti o l’esecuzione di altro codice malevolo. Il plugin ha ricevuto una patch di sicurezza e la versione aggiornata è la 2.6.3.