Il team di ricercatori della società di cybersecurity Intelligenza sulle minacce di Wordfence ne ha trovato uno nuova vulnerabilità critica all’interno del plug-in Componenti aggiuntivi e modelli di Royal Elementor Di WordPress. È un Plugin abbastanza popolare che permette di creare velocemente elementi da inserire nel sito, senza necessariamente avere conoscenze di coding. Secondo WordPress.orgquesto componente aggiuntivo è attualmente installato su over 200.000 siti creato con questo CMS. Questa vulnerabilità era presente fino al versione 1.3.78 del plugin. Anche se lo è già stato correttoi ricercatori hanno affermato che è stato attivamente sfruttato da alcuni criminali informatici per caricare file arbitrari su siti vulnerabili. Considerando che questo è stato sfruttato prima che il venditore rilasciasse la patch di sicurezza, il bug è stato sfruttato dagli hacker come giorno zero.
WordPress: come funziona la vulnerabilità dei componenti aggiuntivi e dei modelli di Royal Elementor
La vulnerabilità che ha interessato il plug-in è stata elencata come CVE-2023-5360 e ha un punteggio CVSS v3.1 di 9.8considerato critico. Grazie a questo bug, gli hacker non autenticati potrebbero caricare file PHP con contenuti dannosi, come a porta sul retro. Ciò ha quindi reso possibile l’esecuzione del codice modalità remota e ha portato al compromissione completa del sito. Sebbene il plug-in venga fornito con la convalida dell’estensione per limitare i caricamenti solo a tipi di file specifici e consentiti, gli utenti non autenticati possono farlo manipolare l’elenco dei file consentiti e bypassare i controlli. Ulteriori dettagli sulla vulnerabilità sono stati nascosti per prevenire uno sfruttamento diffuso.
Secondo Wordfence, gli attacchi sono iniziati il 30 agosto 2023. Nell’ultimo mese la società di sicurezza avrebbe bloccato ca 46.169 attacchi che hanno sfruttato questa vulnerabilità. WPScanregistrato anche lo strumento della società di sicurezza Sicuri 889 quasi di criminali che ne hanno rilasciati dieci carico utile distinti dopo aver sfruttato il difetto. Come già accennato, la maggior parte dei payload utilizzati in questi attacchi sono script PHP che tentano di creare un utente amministratore di WordPress denominato “wordpress_amministratore” o agire come una backdoor. L’autore del plugin ha corretto la vulnerabilità con il fileaggiornamento dell’anno scorso 6 ottobre (consigliato a tutti gli utenti). Tuttavia, questo non rimuoverà i file dannosi da siti WordPress già infetti. Per risolvere completamente il problema, a pulizia completa del sito.