Una vulnerabilità critica che colpisce il tema WordPress premium di Houzez è stata sfruttata in modo selvaggio, ha avvertito lunedì la società di sicurezza WordPress Patchstack.
Houzez è un tema premium per il settore immobiliare, con oltre 35.000 vendite su ThemeForest. Consente alle agenzie di gestire facilmente contenuti ed elenchi.
Dave Jong, CTO di Patchstack, ha scoperto di recente che il tema Houzez e il plug-in Houzez Login Register associato sono interessati da un problema vulnerabilità critica che può consentire a un utente malintenzionato non autenticato di hackerare i siti Web WordPress.
“Il tema stesso fornisce funzionalità di registrazione (deve essere attivata nelle impostazioni) che consente anche all’utente di fornire il ruolo utente con cui desidera registrarsi. Sfortunatamente, questo potrebbe essere impostato su amministratore per ottenere immediatamente i privilegi di amministratore sul sito WordPress”, ha spiegato Jong in un post sul blog.
La vulnerabilità viene tracciata come CVE-2023-26009 nel plugin Houzez e CVE-2023-26540 nel tema. Il venditore è stato informato della falla di sicurezza e l’ha corretta con il rilascio delle versioni 2.6.4 (plugin) e 2.7.2 (tema).
Patchstack ha riscontrato tentativi di sfruttare la vulnerabilità in natura, e Jong lo ha detto Settimana della sicurezza che sia il tema che il plugin sono stati presi di mira. Tuttavia, il plugin sembra essere preso di mira più del tema: non è chiaro il motivo.
Secondo Jong, un utente malintenzionato che cerca di sfruttare la vulnerabilità deve visitare il sito Web preso di mira, acquisire un token nonce associato alla protezione CSRF e quindi inviare una richiesta dannosa all’endpoint di registrazione dell’account fornito dal tema o plug-in Houzez.
Patchstack non è riuscita a determinare cosa sperano di ottenere gli aggressori hackerando i siti Web attraverso la vulnerabilità Houzez perché i suoi prodotti bloccano i tentativi di sfruttamento.
“Tuttavia, è lecito ritenere che se un sito viene sfruttato con questa vulnerabilità e l’aggressore ha effettuato l’accesso con privilegi di amministratore, è probabile che carichi un plugin dannoso che contiene una backdoor”, ha spiegato Jong. “Questa backdoor può eseguire azioni come ascoltare comandi da eseguire in una data futura, inserire pubblicità nel sito Web o reindirizzare il traffico verso un altro sito dannoso.”
L’esperto ha aggiunto: “Questo tipo di vulnerabilità tende ad essere sfruttato maggiormente poiché non richiede autenticazione e fornisce immediatamente all’attore malintenzionato l’accesso a un account con privilegi di amministratore. Le vulnerabilità che richiedono più passaggi o un privilegio iniziale molto più elevato non tendono ad essere sfruttate molto spesso poiché il tasso di successo tende ad essere inferiore e richiede molto più tempo e potenza di elaborazione oltre al fatto che tendono a non dare il massimo accesso da parte di un attore malintenzionato per scrivere file sul filesystem del sito web.”
I proprietari e gli amministratori di siti Web WordPress che utilizzano il tema Houzez dovrebbero assicurarsi che la loro installazione sia dotata di patch per prevenire sfruttamenti dannosi.
Imparentato: Vulnerabilità critica nelle carte regalo premium. Plugin WordPress sfruttato negli attacchi
Imparentato: Vulnerabilità nel plugin BackupBuddy sfruttata per hackerare siti WordPress