Il plug-in di sicurezza di WordPress ha scoperto di avere due vulnerabilità che potrebbero consentire un caricamento dannoso, cross-site scripting e consentire la visualizzazione di contenuti di file arbitrari.
Plugin WordPress per la sicurezza All-In-One (AIOS).
Il plug-in WordPress All-In-One Security (AIOS), fornito dagli editori di UpdraftPlus, offre funzionalità di sicurezza e firewall progettate per bloccare gli hacker.
Offre protezione di sicurezza dell'accesso che blocca gli aggressori, protezione dal plagio, blocca l'hotlinking, blocca i commenti spam e un firewall che funge da difesa contro le minacce di hacking.
Il plug-in applica inoltre la sicurezza proattiva avvisando gli utenti di errori comuni come l'utilizzo del nome utente "admin".
È una suite di sicurezza completa supportata dai creatori di Updraft Plus, uno degli editori di plug-in WordPress più affidabili.
Queste qualità rendono AIOS molto popolare, con oltre un milione di installazioni di WordPress.
Due vulnerabilità
Il National Vulnerability Database (NVD) del governo degli Stati Uniti ha pubblicato un paio di avvisi su due vulnerabilità.
1. Mancata sanificazione dei dati
La prima vulnerabilità è dovuta a un errore di sanificazione dei dati, in particolare un errore nell'evitare i file di registro.
L'escape dei dati è un processo di sicurezza di base che rimuove tutti i dati sensibili dagli output generati da un plug-in.
WordPress ha anche una pagina per sviluppatori dedicata all'argomento, con esempi su come farlo e quando farlo.
La pagina degli sviluppatori di WordPress sugli output di escape spiega:
“L'escape dell'output è il processo di protezione dei dati di output rimuovendo i dati indesiderati, come HTML malformato o tag di script.
Questo processo aiuta a proteggere i tuoi dati prima di renderli per l'utente finale.
L'NVD descrive questa vulnerabilità:
"Il plug-in WordPress All-In-One Security (AIOS) precedente alla 5.1.5 non evade il contenuto dei file di registro prima di inviarlo alla pagina di amministrazione del plug-in, consentendo a un utente autorizzato (admin+) di inserire file di registro fasulli contenenti codice JavaScript dannoso che verrà eseguito nel contesto di qualsiasi amministratore che visiti questa pagina.
2. Vulnerabilità dell'attraversamento delle directory
La seconda vulnerabilità sembra essere una vulnerabilità Path Traversal.
Questa vulnerabilità consente a un utente malintenzionato di sfruttare un errore di sicurezza per accedere a file che normalmente non sarebbero accessibili.
L'Open Worldwide Application Security Project (OWASP) senza scopo di lucro avverte che un attacco riuscito potrebbe compromettere i file di sistema critici.
“Un attacco path traversal (noto anche come directory traversal) mira ad accedere a file e directory che sono archiviati al di fuori della cartella principale del web.
Manipolando variabili che fanno riferimento a file con sequenze 'punto-punto-barra (../)' e relative variazioni o utilizzando percorsi di file assoluti, potrebbe essere possibile accedere a file e directory arbitrari memorizzati nel file system, incluso il codice sorgente o la configurazione dell'applicazione e file di sistema critici.”
L'NVD descrive questa vulnerabilità:
“Il plug-in WordPress All-In-One Security (AIOS) precedente alla 5.1.5 non limita i file di registro da visualizzare nelle sue pagine delle impostazioni, consentendo a un utente autorizzato (admin+) di visualizzare il contenuto di file arbitrari e di elencare le directory ovunque nel server (a cui ha accesso il server web).
Il plug-in visualizza solo le ultime 50 righe del file.
Entrambe le vulnerabilità richiedono che un utente malintenzionato acquisisca credenziali a livello di amministratore per sfruttare l'attacco, il che potrebbe rendere più difficile l'attacco.
Tuttavia ci si aspetta che un plugin di sicurezza non abbia questo tipo di vulnerabilità prevenibili.
Prendi in considerazione l'aggiornamento del plug-in WordPress AIOS
AIOS ha rilasciato una patch nella versione 5.1.6 del plugin. Gli utenti potrebbero prendere in considerazione l'aggiornamento almeno alla versione 5.1.6 e possibilmente all'ultima versione, 5.1.7, che corregge un arresto anomalo che si verifica quando il firewall non è configurato.
Leggi i due bollettini sulla sicurezza NVD
CVE-2023-0157 Neutralizzazione impropria dell'input durante la generazione di pagine Web ("Cross-site Scripting")
CVE-2023-0156 Limitazione impropria di un percorso a una directory riservata ("Path Traversal")
Immagine in primo piano di Shutterstock/Kues