Un popolare Plug-in WordPress con più di 300.000 installazioni presentava due vulnerabilità di elevata gravità che potrebbero consentire agli autori delle minacce di assumere completamente il controllo dei siti Web, hanno avvertito gli esperti.
I ricercatori di sicurezza informatica di Wordfence hanno scoperto la falla all’inizio di dicembre dello scorso anno e l’hanno segnalata agli sviluppatori.
Secondo i ricercatori, il plugin vulnerabile si chiama POST SMTP, uno strumento che aiuta i webmaster a consegnare e-mail ai propri visitatori. Presentava due difetti principali: CVE-2023-6875 e CVE-2023-7027.
Centinaia di migliaia di potenziali vittime
La prima è una vulnerabilità critica di bypass dell'autorizzazione che colpisce tutte le versioni del plugin fino alla 2.8.7. Abusando della falla, un autore di minacce potrebbe reimpostare le chiavi API e quindi ottenere l'accesso a informazioni di registro sensibili, come le e-mail di reimpostazione della password. Possono persino abusare della vulnerabilità per installare backdoor, modificare plugin e temi, manomettere il contenuto del sito o reindirizzare gli utenti altrove (ad esempio, a una pagina di phishing dannosa o a un sito inquinato da pubblicità).
Quest'ultima è una vulnerabilità di cross-site scripting (XSS), presente anche in tutte le versioni fino alla 2.8.7. Abusandone, gli hacker possono iniettare script arbitrari.
Il difetto è stato individuato per la prima volta all'inizio di dicembre, con la patch resa disponibile il 1 gennaio 2024. Coloro che utilizzano lo strumento POST SMTP dovrebbero assicurarsi che il plugin sia portato alla versione 2.8.8.
Secondo Computer che dormeci sono circa 150.000 siti web che eseguono versioni POST SMTP precedenti alla 2.8. Gli altri 150.000 utilizzano una versione più recente, ma ancora vulnerabile. Dal rilascio della patch sono stati effettuati circa 100.000 nuovi download.
POST SMTP è un plugin gratuito, valutato 4.8/5 nel repository dei plugin di WordPress.
In generale, WordPress come a costruttore di siti web è considerato sicuro. Tuttavia, esistono decine di migliaia di plugin gratuiti che presentano diverse vulnerabilità. Alcuni plugin, nonostante siano apprezzati dagli utenti, non sono più supportati dai loro sviluppatori, mettendo gli utenti in grave rischio.