È stato scoperto che il plug-in di sicurezza di WordPress presenta due vulnerabilità che potrebbero consentire un caricamento dannoso, scripting cross-site e consentire la visualizzazione di contenuti di file arbitrari.
Plug-in WordPress per la sicurezza All-In-One (AIOS).
Il plugin WordPress All-In-One Security (AIOS), fornito dagli editori di UpdraftPlus, offre funzionalità di sicurezza e firewall progettate per bloccare gli hacker.
Offre una protezione di sicurezza dell’accesso che blocca gli aggressori, protezione dal plagio, blocca gli hotlink, il blocco dello spam nei commenti e un firewall che funge da difesa contro le minacce di hacking.
Il plug-in garantisce inoltre una sicurezza proattiva avvisando gli utenti di errori comuni come l’utilizzo del nome utente “amministratore”.
È una suite di sicurezza completa supportata dai creatori di Updraft Plus, uno degli editori di plugin WordPress più affidabili.
Queste qualità rendono AIOS molto popolare, con oltre un milione di installazioni WordPress.
Due vulnerabilità
Il National Vulnerability Database (NVD) del governo degli Stati Uniti ha pubblicato un paio di avvisi su due vulnerabilità.
1. Errore nella sanificazione dei dati
La prima vulnerabilità è dovuta a un errore di sanificazione dei dati, in particolare a un errore nell’evitare i file di registro.
L’escape dei dati è un processo di sicurezza di base che rimuove tutti i dati sensibili dagli output generati da un plug-in.
WordPress ha anche una pagina per sviluppatori dedicata all’argomento, con esempi di come farlo e quando farlo.
WordPress’ spiega la pagina dello sviluppatore sugli output di escape:
“L’escape dell’output è il processo di protezione dei dati di output eliminando i dati indesiderati, come tag HTML o script non validi.
Questo processo aiuta a proteggere i tuoi dati prima di renderli per l’utente finale.”
L’NVD descrive questa vulnerabilità:
“Il plug-in WordPress All-In-One Security (AIOS) precedente alla versione 5.1.5 non sfugge al contenuto dei file di registro prima di inviarlo alla pagina di amministrazione del plug-in, consentendo a un utente autorizzato (admin+) di inserire file di registro fasulli contenenti codice JavaScript dannoso che verrà eseguito nel contesto di qualsiasi amministratore che visita questa pagina.”
2. Vulnerabilità nell’attraversamento delle directory
La seconda vulnerabilità sembra essere una vulnerabilità Path Traversal.
Questa vulnerabilità consente a un utente malintenzionato di sfruttare un errore di sicurezza per accedere a file che normalmente non sarebbero accessibili.
Il no-profit Avverte l’Open Worldwide Application Security Project (OWASP). che un attacco riuscito potrebbe compromettere file di sistema critici.
“Un attacco path traversal (noto anche come directory traversal) mira ad accedere a file e directory archiviati all’esterno della cartella principale del web.
Manipolando variabili che fanno riferimento a file con sequenze “punto-punto-barra (../)” e relative variazioni o utilizzando percorsi di file assoluti, potrebbe essere possibile accedere a file e directory arbitrari archiviati nel file system, incluso il codice sorgente o la configurazione dell’applicazione e file di sistema critici.”
L’NVD descrive questa vulnerabilità:
“Il plug-in WordPress All-In-One Security (AIOS) precedente alla versione 5.1.5 non limita quali file di registro visualizzare nelle pagine delle impostazioni, consentendo a un utente autorizzato (admin+) di visualizzare il contenuto di file arbitrari ed elencare directory ovunque sul server (a cui il server web ha accesso).
Il plugin visualizza solo le ultime 50 righe del file.”
Entrambe le vulnerabilità richiedono che un utente malintenzionato acquisisca credenziali a livello di amministratore per sfruttare l’attacco, il che potrebbe rendere più difficile la sua realizzazione.
Tuttavia ci si aspetta che un plugin di sicurezza non abbia questo tipo di vulnerabilità prevenibili.
Prendi in considerazione l’aggiornamento del plugin AIOS WordPress
AIOS ha rilasciato una patch nella versione 5.1.6 del plugin. Gli utenti potrebbero prendere in considerazione l’aggiornamento almeno alla versione 5.1.6, e possibilmente all’ultima versione, 5.1.7, che risolve un arresto anomalo che si verifica quando il firewall non è impostato.
Leggi i due bollettini di sicurezza NVD
Immagine in primo piano di Shutterstock/Kues