WordPress: rilevate due gravi vulnerabilità sui plugin InfiniteWP e WP Time Capsule

Nel mondo dei CMS è disponibile un’infinità di plugin che consentono di gestire più comodamente il proprio blog o portale e tra questi, per la piattaforma WordPress, ci sono InfiniteWP e WP Time Capsule. Questi due strumenti facilitano l’utilizzo di backend multipli e dei backup dei propri siti.

Pochi giorni fa gli osservatori di WebARX hanno segnalato criticità piuttosto gravi su entrambi i plugin, distribuendo anche tutte le informazioni tecniche a riguardo. Vediamo in cosa consistono le vulnerabilità.

InfiniteWP

Come accennato, questo plugin consente di gestire più siti WordPress da un’unica piattaforma. Se si pensa che viene utilizzato su oltre 300.000 siti del noto CMS. La falla è stata riscontrata nella funzione iwp_mmb_set_request, che serve a recepire l’autenticazione delle operazioni di un utente, e consentirebbe di aggirare i blocchi registrando ciascun utente con il ruolo di admin.

Le versioni coinvolte sono la 1.9.4.4 e quelle precedenti ad essa, ma è già stata distribuita una patch di sicurezza nella versione 1.9.4.5, il problema è che solo pochi utenti l’hanno installata dal suo rilascio (poco più della metà). Quindi il consiglio è di rimettersi in pari aggiornando il plugin al più presto possibile, poiché essere scoperti esporrebbe i propri siti WordPress ad un elevato rischio di attacchi hacker.

WP Time Capsule

Questo plugin, utilizzato da oltre 20.000 siti WordPress, dà la possibilità a chi lo acquista di effettuare i backup ogni volta che si effettua una piccola modifica al proprio sito. Il problema in questo caso riguarda le versioni 1.21.16 e quelle precedenti, nelle quali un errore di codice fa entrare come admin il primo utente che effettua il login. Anche in questo caso è stata rilasciata una patch in tempi rapidi e si tratta solo di comunicare agli utenti che si tratta di un aggiornamento fondamentale per evitare rischi.

Altre vulnerabilità rilevate

Queste falle di sicurezza non sono problemi inusuali, vista l’enorme quantità di plugin disponibili per la piattaforma WordPress, che è anche il CMS più utilizzato dagli utenti della rete. Non molto tempo fa, esattamente nel dicembre 2019, due  vulnerabilità identiche erano state segnalate su due diversi plugin: Ultimate Addons for Elementor ed Ultimate Addons for Beaver Builder.

I plugin in questione servono a facilitare la costruzione di pagine sui propri siti a chi utilizza i page builder Elementor e Beaver Builder. Anche per questi due i casi, la vulnerabilità consentiva a chiunque di entrare nel backend dei siti come admin effettuando il login utilizzando le credenziali Google o Facebook, saltando totalmente l’autenticazione. Anche in questo caso le patch sono state distribuite rapidamente. Le versioni da aggiornare erano la 1.20.0 (Elementor) e la 1.24.0 (Beaver Builder).

 

Fonti: 1, 2