Durante il mese di maggio sono state scoperte varie vulnerabilità su alcuni plugin del CMS WordPress, notoriamente uno dei più utilizzati al mondo. Proprio a causa della grande quantità di siti basati su questa piattaforma, ogni falla rischia di avere conseguenze particolarmente gravi.
Il primo caso che andremo a vedere riguarda il plugin Ninja Forms, mentre il secondo riguarda PageLayer.
Ninja Forms
Questo plugin è un semplice strumento drag-e-drop per facilitare la creazione di form da inserire all’interno del proprio sito. L’utilizzo può variare per l’iscrizione alla newsletter o per diventare membro del portale. I tecnici di Wordfence hanno notato la presenza una vulnerabilità CSRF (Cross-Site Request Forgery) che permetteva, dopo l’invio di un link all’admin, di entrare con i privilegi di quest’ultimo ed eseguire codice JavaScript malevolo. Una volta che l’attacco era andato a buon fine, l’hacker aveva anche la possibilità di creare account admin a suo piacimento. La vulnerabilità, identificata come CVE-2020-12462, ha riguardato tutte le versioni di Ninja Forms fino alla 3.4.24.2.
Ma non è finita qui. Questa vulnerabilità è stata scoperta dopo che gli analisti hanno notato una grande quantità di scansioni su vari siti WordPress, probabilmente perpetrate da qualche gruppo hacker, per ricercare falle di tipo XSS (Cross-Site Scripting).
Tale ricerca ha riguardato oltre 900.000 siti che rispondevano a due fondamentali criteri. Il primo era il mancato aggiornamento del CMS ed il secondo era la presenza di una serie di plugin, ovvero: Easy2Map, Blog Designer, WP GDPR Compliance, Total Donations, Tema Newspaper ed il già citato Ninja Forms.
Tutte le versioni aggiornate, contenenti le patch di correzione, sono già state diffuse e sono facilmente installabili.
PageLayer
Nel caso di questo plugin, che consente la creazione facilitata di pagine web senza dover utilizzare il codice, le vulnerabilità riscontrate sono addirittura due ed hanno messo in pericolo oltre 200.000 siti WordPress.
La prima delle due è esattamente la stessa che ha riguardato Ninja Forms, ovvero una vulnerabilità CSRF. La seconda invece si basa su un errore di un codice AJAX rivelatosi non sicuro. Anche in questo caso i tecnici Wordfence hanno spiegato che questa falla avrebbe consentito a chiunque di entrare nel sito e pubblicare contenuti, col grosso rischio di ritrovarsi materiale dannoso o modifiche ingiustificate dei propri articoli e post.
Entrambi gli errori sono stati rimossi con l’aggiornamento alla versione 1.1.2 del plugin PageLayer, contenente le patch di sicurezza. Sembra però che la versione sicura sia presente solo su 80.000 siti, ciò significa che ne restano scoperti, quindi vulnerabili, circa 120.000.