La vulnerabilità del plugin WordPress espone i siti web all’esecuzione di codice in modalità remota
È stata scoperta una vulnerabilità di sicurezza critica in un popolare plugin di WordPress, Backup Migration, che è attualmente installato su oltre 90.000 siti web. La vulnerabilità, tracciata come CVE-2023-6553 e con un punteggio di gravità di 9,8 su 10, consente agli aggressori di ottenere l’esecuzione di codice in modalità remota e compromettere completamente i siti Web vulnerabili.
Il team di cacciatori di bug, noto come Nex Team, ha rilevato la falla di sicurezza e l’ha segnalata alla società di sicurezza di WordPress Wordfence nell’ambito del loro programma bug bounty. Questa vulnerabilità interessa tutte le versioni del plug-in Backup Migration fino alla versione 1.3.6 inclusa. Ciò che rende questa vulnerabilità particolarmente preoccupante è che può essere sfruttata con attacchi a bassa complessità che non richiedono l’interazione dell’utente.
Sfruttando CVE-2023-6553, gli aggressori non autenticati possono eseguire l’iniezione di codice PHP tramite il file “/includes/backup-heart.php”. Ciò consente loro di assumere il controllo dei siti Web presi di mira ed eseguire comandi arbitrari sul server sottostante. In sostanza, gli autori delle minacce possono includere il proprio codice PHP dannoso, garantendo loro il pieno controllo nel contesto di sicurezza dell’istanza WordPress compromessa.
BackupBliss, il team di sviluppo dietro il plugin, ha risposto rapidamente alla segnalazione di Wordfence e ha rilasciato una patch nel giro di poche ore. Tuttavia, le statistiche di WordPress.org indicano che quasi 50.000 siti Web che utilizzano le versioni vulnerabili di Backup Migration non hanno ancora implementato la patch. Ciò li espone al rischio di potenziali attacchi che sfruttano CVE-2023-6553.
È fondamentale che gli amministratori di WordPress proteggano tempestivamente i propri siti Web per impedire l’accesso non autorizzato e il potenziale sfruttamento da parte di attori malintenzionati. Si consiglia vivamente di agire immediatamente per aggiornare il plug-in di migrazione del backup alla versione 1.3.8 o successiva.
Oltre a questa vulnerabilità, gli amministratori di WordPress dovrebbero prestare attenzione alle campagne di phishing che li prendono di mira in modo specifico. Queste campagne tentano di indurre gli amministratori a installare plugin dannosi utilizzando falsi avvisi di sicurezza di WordPress. Questi avvisi affermano falsamente di risolvere una vulnerabilità fittizia tracciata come CVE-2023-45124.
Garantire la sicurezza e la protezione dei siti Web WordPress richiede una vigilanza costante. In un recente aggiornamento, WordPress ha risolto una vulnerabilità della catena POP (Property Oriented Programming) che poteva comportare l’esecuzione arbitraria di codice PHP. Questa vulnerabilità è particolarmente pericolosa se combinata con determinati plugin nelle installazioni multisito. Pertanto, gli amministratori dovrebbero aggiornare regolarmente i propri plug-in e rimanere consapevoli delle potenziali minacce per mantenere sicuri i propri siti Web.