WordPress, a rischio 4,3 milioni di siti: vulnerabilità grave per il plugin WPBakery, aggiornare immediatamente

WordPress, a rischio 4,3 milioni di siti: vulnerabilità grave per il plugin WPBakery, aggiornare immediatamente

Uno tra i più noti page-builder per WordPress presenta una vulnerabilità critica, che può consentire a malintenzionati di inserire JavaScript dannoso all'interno dei post. La patch correttiva è disponibile, è necessario aggiornare subito

di pubblicata il , alle 11:41 nel canale Sicurezza
WordPress
 

Lo scorso 27 luglio il team Threat Intelligence della società di sicurezza Wordfence ha scoperto una grave vulnerabilità nel plugin per WordPress WPBakery, che risulta installato su oltre 4,3 milioni di siti web. La vulnerabilità avrebbe potuto consentire di inserire JavaScript dannosi all'interno dei post ad eventuali attaccanti autenticatisi con autorizzazioni a livello di collaboratore o superiori.

WPBakery fallato: possibilità di iniettare JavaScript dannoso nei post

Wordfence ha contattato gli sviluppatori di WPBakery il 28 luglio 2020 usando il loro form di supporto, riuscendo a comunicare tutti i dettagli della vulnerabilità il 29 luglio. Gli sviluppatori hanno confermato la vulnerabilità e il team di sviluppo si è messo al lavoro per realizzare un patch a partire dal 31 luglio. E' stato necessario diverso tempo prima di poter risolvere il problema, con una patch definitiva che è stata rilasciata il 24 settembre scorso.

Il pluging WPBakery è uno tra i più popolari page builder di WordPress: si tratta di uno strumento di facile utilizzo che permette a chi desidera creare un sito web di realizzare pagine personalizzate con semplici operazioni di drag and drop. WPBakery è stato però progettato con un difetto che potrebbe dar modo agli utenti con ruoli di collaboratore o autore di inserire codice JavaScript dannoso all'interno di pagine e di post. Il problema consentirebbe inoltre di modificare post di altri utenti. Il plugin infatti ha disabilitato esplicitamente qualsiasi controllo predefinito sull'HTML nella funzione saveAjaxFe usando kses_remove_filters ();. In altre parole: qualsiasi utente con accesso a WPBakery avrebbe potuto inserire HTML e JavaScript ovunque in un post usando il page builder.

E non è finita qui: nonostante la funzione di WPBakery dovesse essere quella di modificare solamente le pagine create da esso stesso, in realtà gli utenti potevano accedere all'editor e modificare qualsiasi post fornendo opportuni parametri. Questo potrebbe aver consentito quindi a collaboratori e autori di utilizzare l'azione AJAX wp_ajax_vc_save e la corrispondente funzione saveAjaxFe per iniettare JavaScript dannoso nei propri post e in quelli di altri utenti. Wordfence poi sottolinea che il plugin offriva anche funzionalità onclick personalizzate per i pulsanti, il che avrebbe potuto consentire ad un utente dalle cattive intenzioni di iniettare JavaScript dannoso in un pulsante, il cui click ne avrebbe permesso l'esecuzione.

Aggiornare immediatamente WPBakery alla versione 6.4.1

In sintesi: qualsiasi utente con un accesso almeno a livello di collaboratore, usando diversi metodi, avrebbe potuto inserire script all'interno di post che sarebbero andati in esecuzione con un semplice accesso alla pagina o con un click su un dato pulsante. Dato che le regole di WordPress impongono che i post degli utenti collaboratori siano approvati prima della pubblicazione, è probabile che un amministratore abbia visualizzato una pagina contenente un JavaScript dannoso creato da un attaccante con accesso a livello di collaboratore. L'esecuzione di un JavaScript dannoso nel browser dell'amministratore potrebbe consentire all'attaccante di creare un nuovo utente con privilegi di amministratore o iniettare una backdoor.

Nell'ultima versione di WPBakery gli utenti di livello collaboratore non hanno più unfiltered_html come impostazione predefinita. Gli utenti senza privilegi appropriati non possono più modificare i posti di altri utenti, accedere al page builder se non permesso o usare codici brevi che potrebbero consentire l'iniezione di JavaScript dannoso. Si consiglia pertanto ai gestori di siti WordPress di aggiornare immediatamente il plugin WPBakery all'ultima versione, 6.4.1, e di verificare al contempo che non vi siano account di utenti collaboratori o autori non attendibili.

Maggiori dettagli sono disponibili sul blog di Wordfence.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sbeng08 Ottobre 2020, 12:59 #1
Hanno più bug i plug in di Wordpress che la difesa dell'Inter del campionato '92/'93
mmorselli08 Ottobre 2020, 13:20 #2
Tenere il sito aggiornato è importante, ma di che stiamo parlando? In pratica un utente wordpress a cui tu, amministratore, hai dato i permessi per scrivere articoli dovrebbe inserire uno script malevolo per fregare la password dell'amministratore. Non mi sembra uno scenario così comune.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^