I ricercatori di sicurezza hanno scoperto una nuova vulnerabilità nel plugin Backup and Staging di WP Time Capsule, che interessa le versioni 1.22.20 e precedenti.
Il plugin per WordPress, con oltre 20.000 installazioni attive, semplifica i backup dei siti web e la gestione degli aggiornamenti tramite sistemi di controllo delle versioni dei file nativi nel cloud.
Tuttavia, la falla consentiva agli utenti non autorizzati di sfruttare un meccanismo di autenticazione non funzionante, ottenendo potenzialmente l’accesso amministrativo ai siti interessati.
La vulnerabilità, scoperta dagli esperti di sicurezza di Patchstack, derivava da un errore logico nel codice del plugin, in particolare nel file wptc-cron-functions.php. Sfruttando questa falla, gli aggressori potevano aggirare i controlli di autenticazione critici, manipolando i dati POST codificati in JSON per elevare i propri privilegi e accedere di fatto come amministratori del sito.
“Consente a qualsiasi utente non autenticato di accedere al sito come amministratore con una singola richiesta”, ha spiegato Patchstack. “L’unico prerequisito è che qualcuno abbia impostato il plugin con una connessione al sito wptimecapsule.com”.
Risposta dello sviluppatore e implementazione della patch
Il problema è stato segnalato agli sviluppatori del plugin il 3 luglio, che hanno risposto prontamente rilasciando la versione 1.22.20 entro sei ore dalla notifica per mitigare la vulnerabilità iniziale.
Tuttavia, in seguito si è notato che la patch iniziale era efficace solo parzialmente, poiché il metodo di confronto utilizzato nella correzione poteva ancora essere potenzialmente aggirato.
Successivamente, il 12 luglio è stata rilasciata la versione 1.22.21, che incorporava una correzione di sicurezza più solida, che prevedeva confronti hash aggiuntivi per impedire ulteriori sfruttamenti.
Secondo Patchstack, l’incidente sottolinea l’importanza di rigorosi protocolli di sicurezza nello sviluppo di plugin per WordPress e altre piattaforme.
“Raccomandiamo sempre di applicare controlli di accesso e di autorizzazione adeguati quando si scrive una funzione che prevede l’impostazione dell’autorizzazione di una richiesta in base alle variabili di input dell’utente”, ha scritto l’azienda.
Si consiglia vivamente agli utenti del plugin WP Time Capsule di aggiornarlo immediatamente alla versione 1.22.21 o successiva per garantire la protezione dei propri siti.
Credito immagine: Primakov / Shutterstock.com