Nuove vulnerabilità WordPress, una è dentro Core

Torniamo a parlare di vulnerabilità WordPress e stavolta c’è un problema da risolvere anche dentro WordPress Core.

La dimostrazione che è assolutamente fondamentale mantenere tutto quello che hai costruito per il tuo sito WordPress aggiornato viene dai report che arrivano quotidianamente dalle società di sicurezza che si occupano di stanare le vulnerabilità all’interno dei plugin, dei temi e a volte, come successo in questo caso, anche all’interno di WordPress Core.

Questo perché le vulnerabilità WordPress di cui parliamo possono essere anche estremamente pericolose.

In alcuni casi possono mettere il tuo sito in mano a un soggetto malevolo anche senza che questo debba fare troppo sforzo. In altre situazioni occorre che si creino delle congiunture particolari per cui alcuni plugin tra di loro in un certo senso fanno reazione e generano situazioni di pericolo.

Ma a prescindere da quello che può essere il problema potenziale occorre sempre mantenere tutto aggiornato. Vediamo allora quali sono i plugin che devi tenere d’occhio perché in un caso è molto probabile che tu lo abbia fatto, visto che parliamo di un plugin molto diffuso.

Vedremo poi qual è il problema che è stato invece evidenziato anche da WordFence dentro WordPress Core.

Vulnerabilità WordPress, il problema dentro AffiliateWP

AffiliateWP è utilizzato da oltre 30.000 proprietari di siti web. È uno dei plugin più utili per quello che riguarda le attività di affiliate marketing e di referral marketing.

È anche un plugin piuttosto costoso quindi, è normale, gli utenti che lo scelgono si aspettano di avere un’esperienza di altissima qualità. Ma come è emerso di recente c’è invece un problema che riguarda proprio questo plugin.

Non è effettivamente una vulnerabilità di livello molto alto ma è comunque una vulnerabilità che viene classificata con 7.5 da WordFence, abbastanza da essere di livello alto. La vulnerabilità è di tipo SQL injection.

Questo genere di vulnerabilità permette a utenti malevoli non in possesso di credenziali di accesso di poter andare a inserire delle query SQL all’interno di query che esistono già. Con questa operazione l’utente malevolo può in effetti esfiltrare informazioni sensibili dal database cui viene rivolta la query.

Per il plugin AffiliateWP esiste già una versione aggiornata e quindi è indispensabile che tu abbia la versione 2.9.0 sul tuo sito WordPress se hai scelto AffiliateWP per fare affiliate marketing.

Vulnerabilità pericolosa dentro LatePoint

LatePoint è un altro plugin molto diffuso, utilizzato soprattutto per quei siti web che servono per gestire gli appuntamenti. Non a caso ci sono circa 100.000 siti web attivi con questo plugin.

È il motivo per cui una vulnerabilità all’interno di questo plugin ovviamente è estremamente pericolosa. WordFence classifica la vulnerabilità con 8.8 su 10. E in effetti si tratta di una vulnerabilità piuttosto complessa e pericolosa che se dovesse essere utilizzata da utenti malevoli può veramente fare danni seri.

Si tratta di un problema che in pratica innesca un cross-site request forgery attraverso un problema della funzione con cui è possibile modificare la password di un utente e che può portare al controllo di un account.

Il problema è che in pratica questa vulnerabilità consente potenzialmente a un utente malevolo, non in possesso delle credenziali di accesso per prendere il controllo del sito web preso di mira, di mostrare a un utente del sito regolarmente loggato o addirittura a chi gestisce il sito una pagina diversa e di convincere questo utente a cliccare.

Così facendo, però, si innesca l’account takeover. Da qui il motivo della pericolosità. Anche in questo caso, per fortuna, esiste una versione aggiornata ed è la versione 5.2.0.

Cosa c’è che non va dentro WordPress?

Concludiamo questa carrellata di vulnerabilità con due vulnerabilità non particolarmente pericolose ma comunque da tenere sotto controllo che sono state riscontrate all’interno di WordPress Core. Sono emerse entrambe nello stesso momento.

Per entrambe le vulnerabilità è possibile che un utente malevolo che riesca ad entrare in possesso delle credenziali di livello Contributore o superiore possa esfiltrare le informazioni contenute all’interno di post cui in realtà non dovrebbero avere accesso.

La seconda vulnerabilità, leggermente più pericolosa rispetto a quella precedente, permette invece potenzialmente sempre a un utente malevolo in possesso di credenziali di livello Autore o superiore di inserire script all’interno delle pagine. Motivo in più per sapere bene cosa significano i vari ruoli dentro WordPress.

Questi script entrano in azione ogni volta che un utente fa accesso alle pagine che sono state infettate.

Le versioni di WordPress Core affette da queste vulnerabilità sono diverse, quello che occorre fare è scegliere gli aggiornamenti più recenti. Se per esempio hai WordPress 6.8 è fondamentale che tu abbia almeno la versione 6.8.2.