È stato scoperto che il plug-in WordPress WPCode – Inserisci intestazioni e piè di pagina + frammenti di codice personalizzati, con oltre un milione di installazioni, presentava una vulnerabilità che poteva consentire all'attaccante di eliminare i file sul server.
L'avvertimento della vulnerabilità è stato pubblicato sul National Vulnerability Database (NVD) del governo degli Stati Uniti.
Plugin Inserisci intestazioni e piè di pagina
Il plug-in WPCode (precedentemente noto come Inserisci intestazioni e piè di pagina di WPBeginner), è un popolare plug-in che consente agli editori di WordPress di aggiungere frammenti di codice all'area dell'intestazione e del piè di pagina.
Questo è utile per gli editori che devono aggiungere un codice di convalida del sito di Google Search Console, codice CSS, dati strutturati, persino codice AdSense, praticamente tutto ciò che appartiene all'intestazione o al piè di pagina di un sito web.
Vulnerabilità di Cross-Site Request Forgery (CSRF).
Il plug-in WPCode – Inserisci intestazioni e piè di pagina prima della versione 2.0.9 contiene quella che è stata identificata come vulnerabilità CSRF (Cross-Site Request Forgery).
Un attacco CSRF si basa sull'ingannare un utente finale registrato sul sito WordPress per fare clic su un collegamento che esegue un'azione indesiderata.
L'attaccante sta fondamentalmente sfruttando le credenziali dell'utente registrato per eseguire azioni sul sito su cui l'utente è registrato.
Quando un utente WordPress connesso fa clic su un collegamento contenente una richiesta dannosa, il sito è obbligato a eseguire la richiesta perché utilizza un browser con cookie che identifica correttamente l'utente come connesso.
È l'azione dannosa che l'utente registrato sta eseguendo inconsapevolmente su cui conta l'aggressore.
L'Open Worldwide Application Security Project (OWASP) senza scopo di lucro descrive una vulnerabilità CSRF:
“Cross-Site Request Forgery (CSRF) è un attacco che costringe un utente finale a eseguire azioni indesiderate su un'applicazione Web in cui è attualmente autenticato.
Con un piccolo aiuto di ingegneria sociale (come l'invio di un collegamento tramite e-mail o chat), un utente malintenzionato può indurre gli utenti di un'applicazione Web a eseguire azioni a sua scelta.
Se la vittima è un utente normale, un attacco CSRF riuscito può costringere l'utente a eseguire richieste di modifica dello stato come il trasferimento di fondi, la modifica del proprio indirizzo e-mail e così via.
Se la vittima è un account amministrativo, CSRF può compromettere l'intera applicazione web".
Il sito Web Common Weakness Enumeration (CWE), sponsorizzato dal Dipartimento per la sicurezza interna degli Stati Uniti, offre una definizione di questo tipo di CSRF:
“L'applicazione web non verifica o non può verificare a sufficienza se una richiesta ben formata, valida e coerente sia stata intenzionalmente fornita dall'utente che ha inviato la richiesta.
…Quando un server Web è progettato per ricevere una richiesta da un client senza alcun meccanismo per verificare che sia stata inviata intenzionalmente, allora potrebbe essere possibile per un utente malintenzionato indurre un client a fare una richiesta involontaria al server Web che verrà trattata come una richiesta autentica.
Questo può essere fatto tramite un URL, caricamento di immagini, XMLHttpRequest, ecc. e può comportare l'esposizione di dati o l'esecuzione involontaria di codice.
In questo caso particolare le azioni indesiderate si limitano all'eliminazione dei file di registro.
Il National Vulnerability Database ha pubblicato i dettagli della vulnerabilità:
“Il plug-in WPCode WordPress prima della 2.0.9 ha un CSRF difettoso durante l'eliminazione del registro e non garantisce che il file da eliminare sia all'interno della cartella prevista.
Ciò potrebbe consentire agli aggressori di fare in modo che gli utenti con la funzionalità wpcode_activate_snippets eliminino file di registro arbitrari sul server, anche al di fuori delle cartelle del blog.
Il sito Web WPScan (di proprietà di Automattic) ha pubblicato un proof of concept della vulnerabilità.
Una prova di concetto, in questo contesto, è il codice che verifica e dimostra che una vulnerabilità può funzionare.
Questa è la prova del concetto:
"Fai in modo che un utente connesso con la funzionalità wpcode_activate_snippets apra l'URL seguente https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=../../delete-me. log Questo li farà cancellare ~/wp-content/delete-me.log"
Seconda vulnerabilità per il 2023
Questa è la seconda vulnerabilità scoperta nel 2023 per il plugin WPCode Insert Headers and Footers.
Un'altra vulnerabilità è stata scoperta nel febbraio 2023, interessando le versioni 2.0.6 o precedenti, che la società di sicurezza di Wordfence WordPress ha descritto come "Autorizzazione mancante alla divulgazione/aggiornamento di chiavi sensibili".
Secondo l'NVD, il report sulla vulnerabilità, la vulnerabilità ha interessato anche le versioni fino alla 2.0.7.
L'NVD ha avvertito della precedente vulnerabilità:
“Il plug-in WPCode WordPress prima della 2.0.7 non dispone di adeguati controlli dei privilegi per diverse azioni AJAX, controllando solo il nonce.
Ciò può portare a consentire a qualsiasi utente autenticato che può modificare i post di chiamare gli endpoint relativi all'autenticazione della WPCode Library (come l'aggiornamento e l'eliminazione della chiave di autenticazione)."
WPCode ha rilasciato una patch di sicurezza
Il registro delle modifiche per il plug-in WordPress WPCode – Inserisci intestazioni e piè di pagina rileva responsabilmente che hanno risolto un problema di sicurezza.
Una notazione del registro delle modifiche per l'aggiornamento della versione 2.0.9 afferma:
"Correzione: rafforzamento della sicurezza per l'eliminazione dei registri."
La notazione del registro delle modifiche è importante perché avvisa gli utenti del plug-in del contenuto dell'aggiornamento e consente loro di prendere una decisione informata sull'opportunità di procedere con l'aggiornamento o attendere fino a quello successivo.
WPCode ha agito in modo responsabile rispondendo alla scoperta della vulnerabilità in modo tempestivo e annotando anche la correzione della sicurezza nel registro delle modifiche.
Azioni consigliate
Si consiglia agli utenti del plug-in WPCode – Inserisci intestazioni e piè di pagina di aggiornare il proprio plug-in almeno alla versione 2.0.9.
La versione più aggiornata del plugin è la 2.0.10.
Leggi la vulnerabilità sul sito web di NVD:
CVE-2023-1624 Particolare
