Il difetto del plugin WordPress fuori produzione espone i siti web agli attacchi

È stata scoperta una vulnerabilità critica in due plugin sviluppati da miniOrange.

I plugin interessati, miniOrange Malware Scanner e Web Application Firewall contenevano un grave difetto di escalation dei privilegi che poteva consentire agli aggressori non autenticati di ottenere accesso amministrativo ai siti WordPress.

Questa scoperta sottolinea i rischi e le sfide attuali degli amministratori di siti Web nel proteggere le proprie risorse digitali da sofisticate minacce informatiche.

Il nocciolo del problema risiede in una vulnerabilità di escalation dei privilegi identificata nell’ID CVE CVE-2024-2172. Ha un punteggio CVSS di 9,8, che indica un livello critico di gravità.

Questo difetto era presente nelle versioni fino alla 4.7.2 inclusa del plug-in Malware Scanner e alla 2.1.1 del plug-in Web Application Firewall.

La vulnerabilità consentita non autenticato agli utenti di aumentare i propri privilegi a quelli di amministratore aggiornando la password dell'utente attraverso un controllo della capacità mancante nella funzione mo_wpns_init().

Scoperta e risposta

La vulnerabilità è stata scoperta da un ricercatore di nome Stiofan, che riportato attraverso il programma Bug Bounty di Wordfence durante la loro seconda Bug Bounty Extravaganza il 1 marzo 2024.

Wordfence, fornitore leader di soluzioni di sicurezza WordPress, ha confermato la falla e ha identificato che interessava anche il plug-in Web Application Firewall di miniOrange.

In riconoscimento della scoperta, Stiofan ha ricevuto una taglia di $ 1.250,00.

Wordfence ha agito rapidamente per mitigare il rischio rappresentato da questa vulnerabilità.

Il 4 marzo 2024, gli utenti Premium, Care e Response di Wordfence hanno ricevuto una regola firewall per proteggersi dagli exploit mirati a questo difetto.

Gli utenti della versione accessibile di Wordfence avrebbero dovuto ricevere la stessa protezione il 3 aprile 2024.

Dopo la notifica della vulnerabilità, miniOrange ha risposto chiudendo definitivamente i plugin interessati il ​​7 marzo 2024, senza lasciare alcuna patch o aggiornamento disponibile per gli utenti.

Questa misura drastica evidenzia la gravità della vulnerabilità e i potenziali rischi per i siti WordPress se non affrontati.

Questo incidente ci ricorda chiaramente l’importanza di mantenere misure di sicurezza aggiornate WordPress siti.

Gli amministratori dei siti web sono invitati a eliminare immediatamente i plugin miniOrange interessati dai loro siti e a cercare soluzioni alternative per garantire che le loro risorse digitali rimangano sicure.

Sforzi collaborativi nella sicurezza informatica

La scoperta e la risoluzione di questa vulnerabilità dimostrano il ruolo fondamentale dei programmi bug bounty e degli sforzi di collaborazione tra ricercatori sulla sicurezza e sviluppatori di plugin nell’identificare e mitigare i rischi per la sicurezza.

Il programma Wordfence Bug Bounty, in particolare, si è dimostrato prezioso nel proteggere l’ecosistema WordPress incoraggiando i ricercatori a segnalare le vulnerabilità in modo responsabile.

L'interruzione dei plug-in Malware Scanner e Web Application Firewall di miniOrange dopo aver scoperto una vulnerabilità critica relativa all'escalation dei privilegi è un avvertimento per la comunità di WordPress.

Sottolinea la necessità di vigilanza continua, aggiornamenti tempestivi e sforzi collaborativi di sicurezza per proteggersi dal panorama in continua evoluzione di minacce informatiche.

Rimani aggiornato su notizie, whitepaper e infografiche sulla sicurezza informatica. Seguici su LinkedIn & Twitter.