È stato scoperto che un popolare plugin WordPress, Automatic (versione premium), sviluppato da ValvePress, nasconde vulnerabilità di sicurezza critiche che mettono a rischio oltre 40.000 siti web.
Questo plugin, noto per la sua capacità di creare post da varie fonti, tra cui YouTube, Twitter e praticamente qualsiasi sito Web tramite moduli di scraping, è stato identificato come un gateway per potenziali attacchi informatici a causa di questi difetti.
Esecuzione SQL arbitraria non autenticata – CVE-2024-27956
La prima delle due vulnerabilità, CVE-2024-27956consente agli utenti non autenticati di eseguire query SQL arbitrarie sui siti WordPress interessati.
Questo difetto è stato trovato nel file inc/csv.php, dove una query SQL arbitraria poteva essere fornita alla variabile $q ed eseguita.
Webinar gratuito: mitigazione delle vulnerabilità e delle minacce 0-day
Alert Fatigue che non aiuta nessuno poiché i team di sicurezza devono valutare centinaia di vulnerabilità. :
- Il problema della fatica da vulnerabilità oggi
- Differenza tra vulnerabilità specifica del CVSS e vulnerabilità basata sul rischio
- Valutazione delle vulnerabilità in base all'impatto/rischio aziendale
- Automazione per ridurre l'affaticamento degli avvisi e migliorare significativamente il livello di sicurezza
AcuRisQ, che ti aiuta a quantificare accuratamente il rischio:
Nonostante i controlli che coinvolgono il taglio delle password degli utenti e l’hashing MD5, gli aggressori potrebbero aggirarli semplicemente fornendo uno spazio bianco, consentendo l’esecuzione di query SQL su vasta scala.
Download di file arbitrari non autenticati e SSRF – CVE-2024-27954
La seconda vulnerabilità, CVE-2024-27954riguarda download di file arbitrari e attacchi SSRF (Server-Side Request Forgery).
Questo difetto nel file downloader.php consente agli aggressori di recuperare URL arbitrari o file locali utilizzando $_GET[‘link’] parametro.
Inizialmente, questo potrebbe essere sfruttato senza alcuna autenticazione, ponendo un rischio significativo per l'integrità e la riservatezza dei dati WordPress dati del sito.
PatchStack ha recentemente pubblicato una scheda tecnica articolo evidenziando le vulnerabilità critiche risolte nell'ultima versione del plugin automatico WordPress tramite patch di sicurezza.
La toppa
In risposta a queste vulnerabilità, ValvePress ha rilasciato aggiornamenti per mitigare i rischi. Per CVE-2024-27956, il file inc/csv.php è stato completamente rimosso.
Per affrontare CVE-2024-27954, è stato introdotto un controllo nonce, che richiede un valore ottenibile solo da utenti privilegiati, insieme a un controllo di convalida sulla variabile $link.
Queste misure mirano a proteggere il plugin da esecuzioni SQL e download di file non autorizzati.
FofaBot ha recentemente twittato riguardo a un aggiornamento critico del plugin automatico WordPress.
La scoperta di questi vulnerabilità sottolinea la necessità fondamentale di rigorose misure di sicurezza nello sviluppo di plugin, in particolare quelli che coinvolgono l'esecuzione di query SQL e la capacità di recupero degli URL.
Si consiglia agli sviluppatori di evitare di fornire funzionalità di query SQL su vasta scala, anche a utenti con privilegi elevati, e di implementare controlli di autorizzazione e nonce per le azioni di recupero degli URL.
Per una maggiore sicurezza, si consiglia agli utenti di recuperare gli URL utilizzando le funzioni wp_safe_remote_* di WordPress.
Questo incidente serve a ricordare i rischi sempre presenti nel panorama digitale e l’importanza di mantenere pratiche di sicurezza aggiornate per proteggersi da potenziali minacce informatiche.
Rimani aggiornato su notizie, white paper e infografiche sulla sicurezza informatica. Seguici su LinkedIn & Twitter.