Il plug-in WordPress per pagine mobili accelerate, con oltre 100.000 installazioni, ha corretto una vulnerabilità di media gravità che potrebbe consentire a un utente malintenzionato di iniettare script dannosi che verranno eseguiti dai visitatori del sito Web.
Scripting cross-site tramite shortcode
Il cross-site scripting (XSS) è uno dei tipi di vulnerabilità più frequenti. Nel contesto dei plugin WordPress, le vulnerabilità XSS si verificano quando un plugin ha un modo per inserire dati che non sono sufficientemente protetti da un processo che convalida o disinfetta gli input dell’utente.
La sanificazione è un modo per bloccare tipi di input indesiderati. Ad esempio, se un plug-in consente a un utente di aggiungere testo tramite un campo di input, dovrebbe anche ripulire qualsiasi altra cosa inserita in quel modulo che non gli appartiene, come uno script o un file zip.
Uno shortcode è una funzionalità di WordPress che consente agli utenti di inserire un tag simile a questo [example] all’interno di post e pagine. Gli shortcode incorporano funzionalità o contenuti forniti da un plug-in. Ciò consente agli utenti di configurare un plug-in tramite un pannello di amministrazione, quindi copiare e incollare uno shortcode in un post o in una pagina in cui desiderano che venga visualizzata la funzionalità del plug-in.
Una vulnerabilità “cross-site scripting tramite shortcode” è una falla di sicurezza che consente a un utente malintenzionato di inserire script dannosi in un sito Web sfruttando la funzione shortcode del plug-in.
Secondo un rapporto recentemente pubblicato dalla società di sicurezza Patchstack WordPress:
“Ciò potrebbe consentire a un attore malintenzionato di iniettare script dannosi, come reindirizzamenti, pubblicità e altri payload HTML nel tuo sito Web che verranno eseguiti quando gli ospiti visitano il tuo sito.
Questa vulnerabilità è stata risolta nella versione 1.0.89.”
Wordfence descrive la vulnerabilità:
“Il plug-in Accelerated Mobile Pages per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite gli shortcode del plug-in in tutte le versioni fino alla 1.0.88.1 inclusa a causa dell’insufficiente pulizia dell’input e dell’escape dell’output sugli attributi forniti dall’utente.”
Wordfence chiarisce inoltre che si tratta di una vulnerabilità autenticata, il che per questo specifico exploit significa che un hacker ha bisogno di almeno un livello di autorizzazione di contributore per poter sfruttare la vulnerabilità.
Questo exploit è classificato da Patchstack come una vulnerabilità di livello di gravità medio, con un punteggio di 6,5 su una scala da 1 a 10 (dove dieci è il più grave).
Si consiglia agli utenti di controllare le proprie installazioni in modo che siano aggiornate almeno alla versione 1.0.89.
Leggi il rapporto Patchstack qui:
Il plugin WordPress Accelerated Mobile Pages <= 1.0.88.1 è vulnerabile al Cross Site Scripting (XSS)
Leggi l’annuncio di Wordfence qui:
Pagine mobili accelerate <= 1.0.88.1 – Scripting cross-site archiviato (collaboratore+) autenticato tramite shortcode
Immagine in primo piano di Shutterstock/pedrorsfernandes