Gli utenti di WordPress con il plug-in Advanced Custom Fields sul proprio sito Web dovrebbero eseguire l’aggiornamento dopo aver scoperto una vulnerabilità nel codice che potrebbe esporre i siti e i loro visitatori ad attacchi di cross-site scripting (XSS).
UN avvertimento da Patchstack riguardo al difetto affermato ci sono più di due milioni di installazioni attive delle versioni Advanced Custom Fields e Advanced Custom Fields Pro dei plugin, che vengono utilizzate per dare agli operatori del sito un maggiore controllo sui loro contenuti e dati.
Il ricercatore di Patchstack Rafie Muhammad scoperto la vulnerabilità il 2 maggio e l’ha segnalata al fornitore Delicious Brains di Advanced Custom Fields, che ha rilevato il software l’anno scorso dallo sviluppatore Elliot Condon.
Il 5 maggio, un mese dopo il rilascio di una versione corretta dei plugin da parte di Delicious Brains, Patchstack ha pubblicato i dettagli del difetto. Si consiglia agli utenti di aggiornare il proprio plugin almeno alla versione 6.1.6.
Il difetto, tracciato come CVE-2023-30777 e con un punteggio CVSS di 6,1 su 10 in termini di gravità, lascia i siti vulnerabili agli attacchi XSS riflessi, che coinvolgono malintenzionati che inseriscono codice dannoso nelle pagine web. Il codice viene quindi “riflesso” ed eseguito all’interno del browser di un visitatore.
In sostanza, consente a qualcuno di eseguire JavaScript all’interno della visualizzazione di una pagina da parte di un’altra persona, consentendo all’aggressore di fare cose come rubare informazioni dalla pagina, eseguire azioni come utente e così via. Questo è un grosso problema se il visitatore è un utente amministrativo che ha effettuato l’accesso, poiché il suo account potrebbe essere violato per assumere il controllo del sito web.
“Questa vulnerabilità consente a qualsiasi utente non autenticato [to steal] informazioni sensibili per, in questo caso, privilegiare l’escalation sul sito WordPress inducendo l’utente privilegiato a visitare il percorso URL creato,” ha scritto Patchstack nel suo rapporto.
L’outfit ha aggiunto che “questa vulnerabilità potrebbe essere attivata su un’installazione o configurazione predefinita del plug-in Advanced Custom Fields. L’XSS potrebbe anche essere attivato solo da utenti registrati che hanno accesso al plug-in Advanced Custom Fields”.
Il difetto è relativamente semplice. Deriva dal gestore della funzione “admin_body_class”, che secondo Patchstack è stato configurato per essere un gestore aggiuntivo per l’hook di WordPress, chiamato anche admin_body_class. Il gestore controlla e filtra il design e il layout del tag del corpo principale nell’area di amministrazione.
Il gestore della funzione non disinfetta adeguatamente il valore dell’hook, consentendo a un utente malintenzionato di aggiungere codice dannoso, inclusi reindirizzamenti, pubblicità e altri payload HTML in un sito Web, che viene quindi eseguito quando una persona visita il sito. luogo.
Secondo Patchstack, la vulnerabilità XSS era una delle quattro riscontrate nel popolare plugin negli ultimi due anni.
WordPress, che questo mese festeggia il suo 20° compleanno, rimane il sistema di gestione dei contenuti più popolare al mondo, utilizzato da 43,2%. di tutti i siti web, secondo W3Techs. A causa delle centinaia di milioni di siti che lo utilizzano, anche WordPress è diventato un bersaglio popolare di malfattori che vogliono sfruttare eventuali falle del sistema: è lì che stanno i soldi.
Secondo un Patchstack sondaggioc’è stato un aumento del 150% nel numero di vulnerabilità di WordPress segnalate tra il 2020 e il 2021 e il 29% dei plugin con vulnerabilità critiche in quel momento sono rimasti senza patch.
Inoltre, la facilità d’uso di WordPress consente a chiunque, dagli hobbisti della tecnologia ai professionisti, di configurare rapidamente un sito Web, aumentando i rischi per la sicurezza della piattaforma, secondo Melissa Bischoping, direttrice della ricerca sulla sicurezza degli endpoint presso la società di sicurezza informatica Tanium.
“Poiché molti dei plugin disponibili per i siti WordPress sono sviluppati dalla comunità, potrebbero non essere regolarmente controllati e mantenuti,” ha detto Bischoping Il registro. “I plugin stessi possono contenere vulnerabilità di sicurezza ed è anche facile configurare erroneamente le autorizzazioni o le impostazioni dei plugin, esponendo ulteriori opportunità di exploit.”
Ha aggiunto che “alcuni dei plugin più popolari possono essere presenti letteralmente in milioni di siti web, il che rappresenta un ampio ventaglio di opportunità per un attore di minacce”.
Lo ha detto Casey Ellis, fondatore e CTO del crowdsourcer di sicurezza Bugcrowd Il registro che chiunque abbia un sito WordPress violato dovrebbe migrarlo su un host SaaS, dove la manutenzione della sicurezza è affidata a terzi e un firewall per applicazioni web può essere installato davanti al sito.
“La stragrande maggioranza dei blogger e dei proprietari di piccole imprese che gestiscono siti WordPress… non sono esperti di sicurezza informatica”, ha affermato Ellis. “WordPress necessita sicuramente di aggiornamenti costanti, soprattutto se si dispone di un sito Web che dispone di numerosi plug-in e codice di terze parti.” ®