WordPress, attenzione al plug-in POST SMTP: 150 mila siti a rischio compromissione

Due vulnerabilità consentono di prendere controllo dell'amministrazione del sito o di inserire script arbitrari nelle pagine web
di Andrea Bai pubblicata il 12 Gennaio 2024, alle 15:18 nel canale SicurezzaWordPress
Il plug-in POST SMTP Mailer per WordPress è affetto da due vulnerabilità che potrebbero consentire ai malintenzionati di assumere il pieno controllo dell'autenticazione di un sito web. Le due vulnerabilità sono state scoperte lo scorso mese dai ricercatori di sicurezza di Wordfence.
La prima vulnerabilità, identificata come CVE-2023-6875, è un difetto critico di bypass dell'autorizzazione dovuto ad un problema di "type juggling" in un endpoint REST dell'app mobile e riguarda tutte le versioni del plugin fino alla 2.8.7.
Questa vulnerabilità se correttamente sfruttata può consentire di resettare la chiave API così da visualizzare informazioni sensibili presenti nei log, incluse le email per il ripristino delle password. L'attaccante può quindi avere l'opportunità di sfruttare una funzione dell'app mobile, impostando un token di autenticazione valido con valore zero con l'obiettivo di resettare la password dell'amministratore, accede alla chiave dall'app modificandola e bloccando l'accesso legittimo.
In questo modo l'attaccante può recuperare i permessi di amministratore, ottenendo pieno accesso e controllo al sito con la possibilità di installare backdoor, modificare plug-in e temi, alterare i contenuti o architettare meccanismi di reindirizzamento dei visitatori.
CVE-2023-7027 è invece il codice di tracciamento della seconda vulnerabilità, nello specifico un problema cross-site scripting che nasce da una insufficiente input sanitization. Anche questa vulnerabilità è presente fino alla versione 2.8.7 del plug-in POST SMTP. Il suo sfruttamento può consentire l'inserimento di script arbitrari nelle pagine del sito web.
La prima vulnerabilità è stata segnalata da Wordfence allo sviluppatore del plug-in l'8 dicembre scorso, condividendo poi un proof-of-concept il 15 dicembre. La seconda vulnerabilità è invece stata segnalata il 19 dicembre, con la prova inviata il giorno successivo. Il 1° gennaio è stata rilasciata la versione 2.8.8 di POST SMTP che corregge entrambi i problemi.
Consultando le statistiche di wordpress.org, il plug-in POST SMTP è utilizzato da circa 300 mila siti web. Di questi la metà usa una versione precedente alla 2.8 e di conseguenza circa almeno 150 mila siti web sono sicuramente ancora vulnerabili.
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoChe servizio serio consigliate per evitare hackeraggi dei vari wordpress?
2. utilizzare il minor numero di add-ons, temi e plugin in modo da ridurre il rischio, quindi cancellare quelli non usati.
3. tenere attivo l'auto-aggiornamento in modo da avere un tempestivo aggiornamento in caso di problemi.
4. fare backup dei file e del database frequentemente. Idealmente ogni volta che si aggiunge un contenuto nuovo.
Tutto gratis.
La scelta dell'hosting è abbastanza importante in quanto mi ricordo che una 15ina di anni fa ho trovato il mio blog defacciato, questo a causa di errati settaggi dei permessi fatti a livello di provider: tutti i blog ospitati su quel server erano stati defacciati.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".