Il National Vulnerability Database (NVD) degli Stati Uniti e Wordfence hanno pubblicato un avviso di sicurezza di una vulnerabilità Cross Site Request Forgery (CSRF) di gravità elevata che colpisce il plugin Nested Pages WordPress, interessando fino a +100.000 installazioni. La vulnerabilità ha ricevuto una valutazione Common Vulnerability Scoring System (CVSS) di 8,8 su una scala da 1 a 10, con dieci che rappresenta il livello di gravità più alto.
Richiesta di falsificazione tra siti (CSRF)
Il Cross Site Request Forgery (CSRF) è un tipo di attacco che sfrutta una falla di sicurezza nel plugin Nested Pages, consentendo ad aggressori non autenticati di chiamare (eseguire) file PHP, ovvero i file a livello di codice di WordPress.
C'è una convalida nonce mancante o non corretta, che è una funzionalità di sicurezza comune utilizzata nei plugin di WordPress per proteggere i moduli e gli URL. Un secondo difetto nel plugin è una funzionalità di sicurezza mancante chiamata sanitizzazione. La sanitizzazione è un metodo per proteggere i dati in input o output che è anche comune ai plugin di WordPress ma in questo caso manca.
Secondo Wordfence:
“Ciò è dovuto alla mancata o errata convalida del nonce nella funzione 'settingsPage' e alla mancata santificazione del parametro 'tab'.”
L'attacco CSRF si basa sul fatto che un utente WordPress registrato (come un amministratore) clicchi su un collegamento che a sua volta consente all'attaccante di completare l'attacco. Questa vulnerabilità è classificata 8,8, il che la rende una minaccia di gravità elevata. Per mettere le cose in prospettiva, un punteggio di 8,9 è una minaccia di livello critico, che è un livello ancora più alto. Quindi a 8,8 è appena al di sotto di una minaccia di livello critico.
Questa vulnerabilità riguarda tutte le versioni del plugin Nested Pages fino alla versione 3.2.7 inclusa. Gli sviluppatori del plugin hanno rilasciato una correzione di sicurezza nella versione 3.2.8 e hanno pubblicato responsabilmente i dettagli dell'aggiornamento di sicurezza nel loro changelog.
L'ufficiale registro delle modifiche documenta la correzione di sicurezza:
“Aggiornamento di sicurezza che risolve il problema CSRF nelle impostazioni del plugin”
Leggi l'avviso su Wordfence:
Pagine nidificate <= 3.2.7 – Richiesta di falsificazione tra siti per l'inclusione di file locali
Leggi l'avviso sul NVD:
Immagine in evidenza di Shutterstock/Dean Drobot