IL Blocchi di cadenza plugin, che viene utilizzato su più di 300.000 siti WordPress, ha risolto una vulnerabilità critica nella sua capacità di caricamento file Advanced Form Block. La versione 3.1.11, rilasciata l’8 agosto 2023, corregge il problema di sicurezza con i caricamenti dei moduli.
Il team di sviluppo del plug-in sta anticipando la situazione pubblicando un file consultivo sul loro blog, con una breve descrizione della vulnerabilità e del suo potenziale di exploit.
Kadence Advanced Form Block, introdotto in Kadence Blocks 3.1, offre ai proprietari di siti la possibilità di aggiungere una funzionalità di caricamento file al proprio sito. Il codice all’interno di Advanced Form Block non disponeva di test sufficienti per limitare i tipi di file che possono essere caricati. Ciò potrebbe consentire agli aggressori di caricare un file che afferma di essere un tipo di immagine valido che in realtà conteneva codice PHP dannoso. Quel codice PHP potrebbe essere dannoso e, così facendo, prendere il controllo di un sito Web WordPress vulnerabile. Sfruttare questa vulnerabilità richiederebbe impostazioni a livello di server che sarebbero considerate non sicure. La maggior parte dei provider di hosting premium protegge le cartelle di caricamento dall’esecuzione di PHP a livello di server, sebbene molti provider di hosting economici non lo facciano.
Lo sviluppatore di Kadence Blocks, Ben Ritner, ha affermato che i siti che non utilizzano la funzionalità di caricamento file Advanced Form Block non sono soggetti a questa vulnerabilità. Al momento non è noto che la vulnerabilità sia stata sfruttata.
Gli utenti di Kadence Blocks sono incoraggiati ad aggiornare immediatamente e verificare la presenza di utenti imprevisti, account amministratore e modifiche ai contenuti. L’avviso include anche modi per rendere i caricamenti di file più sicuri, inclusa la limitazione del tipo di file, l’aggiunta dell’autenticazione e la scansione antivirus.