I ricercatori di sicurezza avvertono di una vulnerabilità di gravità critica nel plugin WordPress Royal Elementor Addons and Templates che è stata sfruttata come zero-day per più di un mese.
Sviluppato da WP Royal, il plug-in aiuta gli amministratori di dominio a creare i propri siti Web senza alcuna esperienza di codifica. Royal Elementor ha più di 200.000 installazioni attive su Mercato WordPress.
Il bug sfruttato, tracciato come CVE-2023-5360 (punteggio CVSS di 9,8), è descritto come una convalida insufficiente del tipo di file nella funzione di caricamento del plug-in, che consente ad aggressori non autenticati di caricare file arbitrari su siti vulnerabili, portando all’esecuzione di codice in modalità remota.
Il difetto colpisce tutte le versioni di Royal Elementor precedenti alla 1.3.79 e, secondo la società di sicurezza WordPress Defiant, è stato sfruttato in attacchi dannosi almeno dal 30 agosto.
Ad oggi, l’azienda di sicurezza ha assistito a oltre 46.000 attacchi che tentavano di sfruttare questa vulnerabilità, con un aumento dell’attività osservato il 3 ottobre.
La maggior parte degli attacchi, afferma Defiant, provenivano da tre diversi indirizzi IP e miravano a distribuire file specifici sui siti target, per creare un account amministratore dannoso.
Secondo il team WPScan di Automattic, che ha identificato e segnalato la vulnerabilità, gli aggressori sono stati avvistati distribuire almeno un file dannoso dentro /wpr-add-on/moduli/ directory.
Il plugin, spiega Automattic, si basava su una semplice convalida dell’estensione per garantire che solo determinati tipi di file potessero essere caricati, ma che consentiva agli utenti non autenticati di manipolare l’elenco delle estensioni consentite.
“Dopo un’indagine lo abbiamo scoperto wp_nomefile_univoco La funzione WordPress esegue la sanificazione dei nomi dei file e delle estensioni e, se combinata con il file validità_file funzione, consentirebbe ai malintenzionati di manipolare l’input e aggirare i controlli”, osserva Automattic.
Gli amministratori del sito dovrebbero controllare il file /wpr-add-on/moduli/ directory per la presenza di file PHP dannosi, incluso un file che crea un account utente denominato “wordpress_administrator”.
Automattic ha inoltre osservato che gli autori delle minacce hanno sfruttato la vulnerabilità per caricare malware sui siti Web compromessi.
Si consiglia agli amministratori e ai proprietari dei siti di aggiornare alla versione 1.3.79 di Royal Elementor, che risolve la vulnerabilità. La versione patchata è disponibile dal 6 ottobre.
Imparentato: Malware backdoor trovato sul sito WordPress camuffato da plugin legittimo
Imparentato: Difetto del plugin TagDiv recentemente patchato sfruttato per hackerare migliaia di siti WordPress
Imparentato: La vulnerabilità nel plug-in di migrazione di WordPress espone i siti Web agli attacchi