Migliaia di siti Web WordPress potrebbero essere messi a rischio da questo grave bug di sicurezza
A una vulnerabilità recentemente rivelata che colpisce il plugin WordPress “Migrazione di backup” è stato assegnato un punteggio di gravità di 9,8 su 10, ma le cose potrebbero non essere così gravi come sembra perché ora è disponibile una patch.
Il bug di sicurezza, tracciato come CVE-2023-6553, interessa tutte le versioni fino alla 1.3.7 (inclusa) del plugin.
Gli aggressori di successo possono ottenere l’esecuzione di codice in modalità remota consentendo loro di compromettere completamente i siti Web WordPress vulnerabili tramite l’iniezione di codice PHP.
Importante aggiornamento del plugin WordPress disponibile ora
Plugin di sicurezza WordPress Wordfence pubblicato sulla vulnerabilità e afferma di aver bloccato 39 attacchi nelle 24 ore precedenti la stesura di questo articolo.
Nel plugin registro delle modifichela versione 1.3.8 risolve il bug: “CVE segnalato con patch: aggiornare.” La versione aggiunge anche il supporto testato per WordPress 6.4.2, rilasciato il 6 dicembre.
Non è chiaro quanti utenti utilizzino versioni vulnerabili del plugin, tuttavia gli sviluppatori affermano di avere più di 90.000 download e vantano una percentuale di cinque stelle del 94%, su oltre 900 recensioni.
I ricercatori del Nex Team hanno il merito di aver scoperto per primi il bug come parte del programma bug bounty di Wordfence, che attualmente sta offrendo un incentivo fino al 20 dicembre che vedrà i reporter di successo guadagnare 6,25 volte la solita ricompensa. Nex Team ha ricevuto 2.751 dollari per aver avvisato Wordfence della vulnerabilità.
Dopo la notifica, Wordfence ha emesso una regola firewall per proteggere i clienti di Wordfence Premium ($ 119/anno), Wordfence Care ($ 490/anno) e Wordfence Response ($ 950/anno). Wordfence estenderà la regola del firewall anche ai clienti non paganti dopo un periodo di 30 giorni, il che significa che i clienti gratuiti potranno beneficiare del servizio a partire dal 5 gennaio 2024.
Tuttavia, Wordfence ha informato della vulnerabilità anche gli sviluppatori di Backup Migration, BackupBliss, che successivamente hanno rilasciato una patch nel giro di poche ore. IL post sul blog si legge: “Complimenti al team di BackupBliss per la risposta e la patch incredibilmente rapide.”
Anche se ora sono stati resi disponibili sia una patch che un firewall, gli utenti di WordPress sono comunque invitati ad applicare gli aggiornamenti a tutti i plugin il prima possibile per mantenere una protezione ottimale sui loro siti.