Sono state identificate numerose vulnerabilità nel tema Avada ampiamente utilizzato e nel relativo plug-in Avada Builder.
Queste falle di sicurezza, scoperte dal ricercatore di sicurezza di Patchstack Rafie Muhammad, espongono un numero significativo di siti Web WordPress a potenziali violazioni.
All’interno di queste vulnerabilità, il plug-in Avada Builder presenta due punti deboli. Il primo è un’iniezione SQL autenticata (CVE-2023-39309). Sfruttando questa vulnerabilità, gli aggressori in possesso di accesso autenticato potrebbero violare dati sensibili e potenzialmente eseguire codice remoto.
La seconda è una vulnerabilità Reflected Cross-Site Scripting (XSS) (CVE-2023-39306), che consente agli aggressori non autenticati di rubare informazioni sensibili e potenzialmente aumentare i propri privilegi sui siti WordPress interessati.
Patchstack ha anche scoperto varie vulnerabilità nel tema Avada. La prima tra queste è la vulnerabilità di caricamento file arbitrario di Contributor+ (CVE-2023-39307). In questo scenario, i contributori ottengono la possibilità di caricare file arbitrari, che possono comprendere file PHP dannosi, consentendo così l’esecuzione di codice in modalità remota e compromettendo l’integrità del sito.
Allo stesso modo consequenziale è la rivelazione di un difetto di controparte Autore+ (CVE-2023-39312). Qui, gli autori ottengono la capacità di caricare file zip malevoli, introducendo così il potenziale per l’esecuzione di codice remoto e vulnerabilità all’interno del sito.
A concludere questa serie di vulnerabilità è la vulnerabilità Contributor+ Server-Side Request Forgery (SSRF) (CVE-2023-39313). Attraverso questa scappatoia, i contributori possono istigare richieste ai servizi interni sul server WordPress, avviando così potenzialmente azioni non autorizzate o accesso ai dati all’interno della struttura organizzativa.
Le vulnerabilità sono state segnalate al fornitore Avada il 6 luglio 2023, portando al rilascio di versioni con patch l’11 luglio 2023. Patchstack ha incluso le vulnerabilità nel proprio database delle vulnerabilità e consulenza sulla sicurezza è stato reso pubblico il 10 agosto 2023.
Per risolvere queste vulnerabilità, gli utenti sono invitati ad aggiornare il plug-in Avada Builder alla versione 3.11.2 e il tema Avada alla versione 7.11.2. Garantire aggiornamenti tempestivi è fondamentale per mantenere la sicurezza del sito web.
Credito immagine editoriale: BigTunaOnline / Shutterstock.com