Torniamo a parlare dei plugin del CMS WordPress, che spesso sono al centro di problematiche legate alla sicurezza a seguito di falle di sistema che, quando scoperte, possono consentire agli hacker di lanciare offensive verso i siti web per i quali vengono utilizzati, con conseguenze potenzialmente catastrofiche. In questo breve aggiornamento parleremo più precisamente di due plugin, entrambi segnalati come pericolosi se non aggiornati. Si tratta di Ultimate Member, plugin per la registrazione di utenti, e di Popup Builder, che invece serve per la creazione di finestre pop-up.
Iniziamo con Ultimate Member, per il quale il 28 febbraio scorso è stato notato un problema legato ad una vulnerabilità di tipo XSS (Cross Site Scripting) che poteva essere sfruttata da utenti che non si autenticavano sul sito. La vulnerabilità, contrassegnata dalla sigla CVE-2024-2123 da MITRE, è stata valutata con una gravità di tipo alto col punteggio 7.2 poiché sfruttandola gli hacker potevano iniettare codice malevolo capace di portare poi ad altre azioni come il redirect su portali fraudolenti, creare nuovi utenti admin facendo perdere il controllo dei siti ed anche l’installazione di backdoor. La versione “incriminata” di Ultimate Member è la 2.8.3, che viene utilizzata su oltre 200.000 siti web costruiti con WordPress, pertanto la platea di potenziali vittime è parecchio ampia.
Dopo la segnalazione del grave bug riscontrato, gli sviluppatori hanno immediatamente provveduto a mitigare il problema facendo poi uscire, in data 6 marzo, una nuova versione ovvero la 2.8.4. Adesso sarà compito di tutti gli utilizzatori del plugin provvedere all’aggiornamento rapido per evitare di incorrere nei rischi collegati alla vulnerabilità.
Passando poi al secondo plugin di questo approfondimento, il CERT-AgID ha segnalato che su Popup Builder for WordPress viene sfruttata una vulnerabilità già nota e correttamente comunicata risalente addirittura al dicembre 2023. Questa falla di sicurezza è stata segnalata dopo che è stata notata una campagna mirata alla diffusione di Balada Injector e che ha corrotto oltre 3000 siti fino ad oggi, alcuni dei quali su domini italiani. Questa falla consentirebbe di aggiungere codice malevolo che, all’apertura dei popup creati col plugin, avrebbe portato all’esecuzione di Javascript dannosi. Questo codice avrebbe poi portato gli utenti che visitavano il sito ad essere reindirizzati su URL malevoli mirati a campagne di phishing ed all’attivazione di notifiche push dal proprio browser.
La vulnerabilità è stata contrassegnata con la sigla CVE-2023-6000 ed il rischio è stato valutato con un punteggio di 6.1. La versione corrotta del plugin è la numero 4.2.6 e la potenziale platea di siti attaccabili in questo caso è di oltre 200.000 siti. Gli sviluppatori di Popup Builder hanno già distribuito una versione corretta, la 4.2.7, che gli utenti dovranno prontamente installare per non dare nessun problema ai propri visitatori e non far perdere la reputazione al proprio sito web.
In conclusione, come spesso facciamo, ricordiamo che il mantenimento del controllo sui plugin installati sul proprio CMS è una delle attività di routine di base per garantire la salute di base del proprio portale. Troppo spesso infatti le campagne come quelle che abbiamo appena visto si diffondono a macchia d’olio proprio per la mancanza di cura da parte degli sviluppatori e per la pigrizia di chi usa certi strumenti, che son più pericolosi della piattaforma WordPress.