Dopo le vulnerabilità ai plugin Infinite WP e WP Time Capsule, delle quali abbiamo parlato in un recente articolo, sono state riscontrate altre falle di sicurezza in vari plugin del noto CMS WordPress che meritano identica attenzione.
Il primo problema è stato riscontrato dai tecnici di WebARX sul plugin ThemeGrill Demo Importer, utilizzato dagli utenti WordPress per facilitare la gestione di temi, layout e widget dei propri siti. L’errore è piuttosto pericoloso se si conta che il plugin, al momento della scoperta del problema, era utilizzato da oltre duecentomila siti, un dato che, dopo questo problema, pare essersi addirittura dimezzato. Questo perché nelle versioni che vanno dalla 1.3.4 alla 1.6.1 era presente una vulnerabilità che consentiva di entrare col ruolo di admin anche a coloro che non erano autorizzati ad esserlo.
La falla è stata riscontrata nella funzione reset_wizard_actions, ovvero quella che consente di resettare il database del sito. Se un utente non admin riesce ad accedervi ha la facoltà di cancellare quindi tutti i dati svuotando di fatto il sito. L’attacco è andato a segno, visto che alcuni siti WordPress che utilizzavano il plugin hanno già iniziato a mostrare esclusivamente il classico post di default “Ciao, Mondo” nelle loro homepage. Per far questo, però, è necessario che sul sito sia attivo un tema scaricato da ThemeGrill, che intanto ha provveduto a distribuire la patch al problema già nella versione 1.6.2 (ma è già disponibile anche la 1.6.3).
Un’altra falla è stata riscontrata nel plugin Profile Builder, che serve a creare moduli per consentire i commenti agli utenti del proprio sito fornendo prima delle credenziali. La vulnerabilità in questo caso consentirebbe di inserire un ruolo diverso da quello dell’utente semplice durante il processo di iscrizione, mentre questo non dovrebbe nemmeno risultare selezionabile.
Stando alle cifre presenti sul database dei plugin di WordPress, Profile Builder è presente in oltre 50.000 siti, dunque questa problematica potrebbe aver colpito un alto numero di utenti. Per rimediare alla falla è stata già distribuita una versione aggiornata del plugin, ovvero la 3.1.1.
Le altre vulnerabilità segnalate in questi giorni e riguardanti dei plugin WordPress sono di tipo XSS (Cross-Site Scripting), una Persistent e l’altra non-Persistent. Questo tipo di problema fa sì che, per un hacker, sia possibile inserire script nei siti attaccati andando a modificare quelli esistenti. Questa libertà di modifica è il viatico per riuscire a far installare malware sui PC dei visitatori o per trafugare i loro dati e le loro credenziali.
I due plugin sui quali sono state riscontrate vulnerabilità XSS sono Strong Testimonials e WordPress Fruitful nelle versioni fino alla 3.8 nel primo caso e fino alla 1.6.2 nel secondo. Il problema riscontrato su Strong Testimonials consiste in una falla negli script name e email dei campi di registrazione che consentirebbe ad un hacker di prenderne visione, mentre per quel che riguarda Sitemap Page la vulnerabilità risiede nel campo excluded delle impostazioni del plugin.
In entrambi i casi sono già state distribuite le nuove versioni con le relative patch di sicurezza, pertanto si raccomanda a tutti coloro che li utilizzano di entrare nel backend del proprio sito WordPress, seguire il percorso Plugin -> Plugin Installati del menu di sinistra ed aggiornarli tutti all’ultima versione disponibile.