Vulnerabilità in WordPress Il plug-in di Google Analytics raggiunge +3 milioni di siti web

Il National Vulnerability Database ha annunciato che un popolare plug-in WordPress di Google Analytics installato in oltre 3 milioni è stato scoperto contenere una vulnerabilità Stored Cross-Site Scripting (XSS).

XSS memorizzato

Un attacco Cross-Site Scripting (XSS) generalmente si verifica quando una parte del sito Web che accetta l'input dell'utente non è sicura e consente input imprevisti, come script o collegamenti.

La vulnerabilità XSS può essere sfruttata per ottenere l'accesso non autorizzato a un sito Web e può portare al furto dei dati dell'utente o all'acquisizione completa del sito.

L'Open Worldwide Application Security Project (OWASP) senza scopo di lucro descrive come funziona la vulnerabilità XSS:

“Un utente malintenzionato può utilizzare XSS per inviare uno script dannoso a un utente ignaro. Il browser dell'utente finale non ha modo di sapere che lo script non dovrebbe essere attendibile e lo eseguirà.

Poiché ritiene che lo script provenga da una fonte attendibile, lo script dannoso può accedere a qualsiasi cookie, token di sessione o altre informazioni sensibili conservate dal browser e utilizzate con quel sito.

Un XSS memorizzato, probabilmente peggiore, è quello in cui lo script dannoso è memorizzato sui server del sito Web stesso.

È stato scoperto che il plug-in, MonsterInsights – Google Analytics Dashboard per WordPress, conteneva la versione XSS memorizzata della vulnerabilità.

MonsterInsights – Dashboard di Google Analytics per la vulnerabilità di WordPress

Il plug-in MonsterInsights Google Analytics è installato in oltre tre milioni di siti Web, il che rende questa vulnerabilità più preoccupante.

La società di sicurezza di WordPress, Patchstack, che ha scoperto la vulnerabilità, ha pubblicato i dettagli:

“Rafie Muhammad (Patchstack) ha scoperto e segnalato questa vulnerabilità Cross Site Scripting (XSS) in WordPress Google Analytics di MonsterInsights Plugin.

Ciò potrebbe consentire a un attore malintenzionato di inserire script dannosi, come reindirizzamenti, pubblicità e altri payload HTML nel tuo sito Web che verranno eseguiti quando gli ospiti visitano il tuo sito.

Questa vulnerabilità è stata corretta nella versione 8.14.1.”

Il registro delle modifiche del plug-in MonsterInsights sul repository dei plug-in di WordPress ha offerto una spiegazione alquanto vaga della patch di sicurezza:

"Risolto: abbiamo corretto un errore di avviso PHP e aggiunto un ulteriore rafforzamento della sicurezza."

Un "rafforzamento della sicurezza" è un termine che può essere applicato a molte attività relative alla riduzione dei vettori di attacco, come la rimozione del numero di versione.

WordPress ha pubblicato un'intera pagina sul rafforzamento della sicurezza che consiglia attività di rafforzamento della sicurezza come backup regolari del database, ottenere temi e plug-in da fonti attendibili e utilizzare password complesse.

Tutte queste attività rafforzano la sicurezza.

Ecco perché l'uso della frase "security hardening" è un termine generale e generico da utilizzare per qualcosa di specifico (e importante) come l'applicazione di patch a una vulnerabilità di sicurezza XSS, che potrebbe indurre un utente a saltare l'aggiornamento del proprio plug-in.

Azione raccomandata

Patchstack consiglia a tutti gli utenti del plug-in MonsterInsights Analytics di aggiornare immediatamente il proprio plug-in WordPress all'ultima versione o almeno alla versione 8.14.1.

Leggi l'annuncio del database nazionale delle vulnerabilità degli Stati Uniti:

CVE-2023-23999 Dettaglio

Leggi l'annuncio di Patchstack:

WordPress Google Analytics by MonsterInsights Plugin <= 8.14.0 è vulnerabile al Cross Site Scripting (XSS)