Nei giorni scorsi sono stati scoperti due pericolose vulnerabilità in due plugin molto utilizzati del noto CMS WordPress. Sotto la lente d’ingrandimento sono finiti, nello specifico, Newsletter, uno strumento utilizzatissimo dagli utenti della piattaforma per l’invio massiccio di posta, e Divi Builder, insieme agli editor Divi e Divi Extra.
Newsletter
Per dare un’idea della portata del problema basta sapere che il plugin in questione viene utilizzato da oltre 300.000 siti WordPress e ognuno di essi ha rischiato che gli hacker prendessero il controllo dei loro siti proprio sfruttando proprio queste falle. Il tutto in realtà è nato dalla scoperta di un piccolo problema, avvenuta il 13 luglio, che esponeva al rischio di attacchi di tipo XSS Reflected (cross-site-scripting), ovvero un difetto di programmazione che permette ad un utente esterno di inserire codice o parti di codice a proprio piacimento su un sito internet.
Dopo la correzione tramite patch di questo problema, però, i tecnici hanno rilevato altre due vulnerabilità ancor più preoccupanti. Una di esse esponeva ancora ad attacchi più gravi di tipo XSS Reflected, mentre l’altra era di tipo PHP Object Injection. In sostanza, mediante queste due falle era possibile impostare nuovi amministratori, che venivano puntualmente celati, e l’altra avrebbe invece permesso agli hacker di creare una backdoor per il sito, ovvero accessi al backend che bypassano i sistemi di autenticazione permettendo anche il controllo da remoto dello stesso.
La particolare gravità di questi problemi alla sicurezza di Newsletter ha ovviamente spinto gli sviluppatori a trovare al più presto una soluzione. È stata quindi rilasciata una nuova patch di modo da fixare la falla e ripristinare il corretto funzionamento del plugin. I rischi, però, sono tutto fuorché scongiurati, poiché sembra che soltanto la metà degli utilizzatori di Newsletter abbia di fatto scaricato ed installato l’aggiornamento necessario e questo mette seriamente a repentaglio la sicurezza di oltre 150.000 siti.
I tecnici si sono comunque messi a lavoro per impostare nuove regole di firewall per cercare di proteggere anche coloro che non si sono accorti della disponibilità di una patch. La speranza è che il sistema di aggiornamenti automatici di WordPress riesca a mettere la parola fine a tutti questi pericoli.
Divi
Il problema riscontrato su questa combinazione di prodotti, composta da due temi ed un plugin, avrebbe permesso agli hacker di autenticarsi con privilegi da autore al backend dei siti WordPress ed operare sul server che li ospita iniettando codice infetto. Questa vulnerabilità era presente nella funzione che riguarda l’inserimento o l’esportazione dei modelli delle pagine dei propri portali, tramite la quale un utente malintenzionato poteva tranquillamente eludere i controlli e caricare quindi file PHP.
Gli sviluppatori di Elegant Themes, ovvero coloro che hanno creato i temi ed i plugin interessati, sono stati prontamente avvisati da WordFence, un noto rivenditore di soluzioni di sicurezza per WordPress, ed hanno rilasciato una patch di sicurezza. A mettere ancora più fretta nel porre rimedio alla falla c’è il fatto che i prodotti in questione vengono utilizzati da oltre 700.000 siti, ma per proteggere anche chi ha versioni dell’editor molto obsolete è stato consigliato il download di Security Patcher. I tecnici di Elegant Themes hanno anche fatto presente che attualmente la versione più sicura dei loro strumenti è la 4.5.3.
In chiusura di articolo ricordiamo come sempre che per tutti i plugin, temi ed estensioni disponibili per i vari CMS è sempre consigliato tenere d’occhio il più possibile tutti gli aggiornamenti non appena vengono resi disponibili così come le notizie riguardanti tutte le eventuali vulnerabilità.