50.000 siti WordPress esposti ad attacchi RCE a causa di un bug critico nel plug-in di backup

Una vulnerabilità di gravità critica in un plugin WordPress con più di 90.000 installazioni può consentire agli aggressori di ottenere l’esecuzione di codice in modalità remota per compromettere completamente i siti Web vulnerabili.

Conosciuto come Migrazione di backupil plug-in aiuta gli amministratori ad automatizzare i backup del sito nella memoria locale o in un account Google Drive.

Il bug di sicurezza (tracciato come CVE-2023-6553 e valutato con a Punteggio di gravità 9,8/10) è stato scoperto da un team di cacciatori di insetti noto come Squadra Nexche lo ha segnalato alla società di sicurezza WordPress Wordfence nell’ambito di un programma bug bounty lanciato di recente.

Ha un impatto su tutte le versioni dei plug-in fino a Backup Migration 1.3.6 inclusa e gli autori malintenzionati possono sfruttarlo in attacchi a bassa complessità senza l’interazione dell’utente.

CVE-2023-6553 consente agli aggressori non autenticati di prendere il controllo dei siti Web presi di mira ottenendo l’esecuzione di codice remoto tramite l’iniezione di codice PHP tramite il file /includes/backup-heart.php.

“Ciò è dovuto al fatto che un utente malintenzionato è in grado di controllare i valori passati a un include e successivamente di sfruttarli per ottenere l’esecuzione di codice remoto. Ciò consente agli autori di minacce non autenticati di eseguire facilmente codice sul server,” Wordfence disse di lunedi.

“Inviando una richiesta appositamente predisposta, gli autori delle minacce possono sfruttare questo problema per includere codice PHP arbitrario e dannoso ed eseguire comandi arbitrari sul server sottostante nel contesto di sicurezza dell’istanza WordPress.”

Nel file /includes/backup-heart.php utilizzato dal plugin Backup Migration, viene effettuato un tentativo di incorporare bypasser.php dalla directory BMI_INCLUDES (definita unendo BMI_ROOT_DIR con la stringa include) alla riga 118.

Tuttavia, BMI_ROOT_DIR viene definito tramite l’intestazione HTTP content-dir trovata alla riga 62, rendendo quindi BMI_ROOT_DIR soggetto al controllo dell’utente.

Patch rilasciata in poche ore

Wordfence ha segnalato la grave falla di sicurezza a BackupBliss, il team di sviluppo dietro il plugin Backup Migration, il 6 dicembre, con gli sviluppatori che hanno rilasciato una patch poche ore dopo.

Tuttavia, nonostante il rilascio della versione patchata del plug-in Backup Migration 1.3.8 il giorno del rapporto, quasi 50.000 siti Web WordPress che utilizzano una versione vulnerabile devono ancora essere protetti quasi una settimana dopo, poiché Statistiche di download dell’organizzazione WordPress.org spettacolo.

Si consiglia vivamente agli amministratori di proteggere i propri siti Web da potenziali attacchi CVE-2023-6553, dato che si tratta di una vulnerabilità critica che malintenzionati non autenticati possono sfruttare da remoto.

Anche gli amministratori di WordPress lo sono essere preso di mira da una campagna di phishing che tenta di indurli a installare plugin dannosi utilizzando falsi avvisi di sicurezza di WordPress per una vulnerabilità fittizia tracciata come CVE-2023-45124 come esca.

La scorsa settimana, WordPress ha anche corretto un problema di programmazione orientata alle proprietà (POP) vulnerabilità della catena che potrebbe consentire agli aggressori di ottenere l’esecuzione arbitraria di codice PHP in determinate condizioni (se combinato con alcuni plugin in installazioni multisito).