La vulnerabilità nel plugin Google Analytics di WordPress colpisce oltre 3 milioni di siti web
Il National Vulnerability Database ha annunciato che è stato scoperto che un popolare plug-in WordPress di Google Analytics installato su oltre 3 milioni di utenti contiene una vulnerabilità XSS (Stored Cross-Site Scripting).
XSS memorizzato
Un attacco Cross-Site Scripting (XSS) si verifica generalmente quando una parte del sito Web che accetta l’input dell’utente non è sicura e consente input imprevisti, come script o collegamenti.
La vulnerabilità XSS può essere sfruttata per ottenere l’accesso non autorizzato a un sito Web e può portare al furto di dati dell’utente o all’acquisizione dell’intero sito.
Lo descrive il progetto no-profit Open Worldwide Application Security Project (OWASP). come funziona la vulnerabilità XSS:
“Un utente malintenzionato può utilizzare XSS per inviare uno script dannoso a un utente ignaro. Il browser dell’utente finale non ha modo di sapere se lo script non deve essere considerato attendibile ed eseguirà lo script.
Poiché ritiene che lo script provenga da una fonte attendibile, lo script dannoso può accedere a qualsiasi cookie, token di sessione o altre informazioni sensibili conservate dal browser e utilizzate con quel sito.
Un XSS memorizzato, che è probabilmente peggiore, è quello in cui lo script dannoso è memorizzato sui server del sito stesso.
È stato scoperto che il plug-in MonsterInsights – Google Analytics Dashboard for WordPress contiene la versione XSS memorizzata della vulnerabilità.
MonsterInsights – Dashboard di Google Analytics per la vulnerabilità di WordPress
Il plug-in MonsterInsights di Google Analytics è installato in oltre tre milioni di siti Web, il che rende questa vulnerabilità ancora più preoccupante.
La società di sicurezza WordPress, Patchstack, che ha scoperto la vulnerabilità, dettagli pubblicati:
“Rafie Muhammad (Patchstack) ha scoperto e segnalato questa vulnerabilità Cross Site Scripting (XSS) in WordPress Google Analytics tramite il plugin MonsterInsights.
Ciò potrebbe consentire a un attore malintenzionato di inserire script dannosi, come reindirizzamenti, pubblicità e altri payload HTML nel tuo sito Web che verranno eseguiti quando gli ospiti visitano il tuo sito.
Questa vulnerabilità è stata risolta nella versione 8.14.1.”
IL Registro delle modifiche del plug-in MonsterInsights sul repository dei plugin di WordPress offre una spiegazione piuttosto vaga della patch di sicurezza:
“Risolto: abbiamo corretto un errore di avviso PHP e aggiunto un ulteriore rafforzamento della sicurezza.”
Un “rafforzamento della sicurezza” è un termine che può essere applicato a molte attività relative alla riduzione dei vettori di attacco, come la rimozione del numero di versione.
WordPress ha pubblicato un intera pagina sul rafforzamento della sicurezza che consiglia attività di rafforzamento della sicurezza come backup regolari del database, acquisizione di temi e plug-in da fonti attendibili e utilizzo di password complesse.
Tutte queste attività rappresentano un rafforzamento della sicurezza.
Ecco perché usare la frase “rafforzamento della sicurezza” è un termine generale e generico da utilizzare per qualcosa di specifico (e importante) come applicare una patch a una vulnerabilità della sicurezza XSS, che potrebbe indurre un utente a saltare l’aggiornamento del proprio plug-in.
Azione raccomandata
Patchstack consiglia a tutti gli utenti del plug-in MonsterInsights Analytics di aggiornare immediatamente il proprio plug-in WordPress all’ultima versione o almeno alla versione 8.14.1.
Leggi l’annuncio del database nazionale delle vulnerabilità degli Stati Uniti:
Leggi l’annuncio di Patchstack: