Wordpress, un plugin potrebbe inviare mail di phishing: vulnerabilità per oltre 20mila siti web

Wordpress, un plugin potrebbe inviare mail di phishing: vulnerabilità per oltre 20mila siti web

Il plugin WP HTML Mail può essere sfruttato, per via di una vulnerabilità, anche senza autenticazione e consente di inviare mail di phishing e di iniettare codice dannoso nel sito che ne fa uso

di pubblicata il , alle 10:31 nel canale Sicurezza
WordPress
 

WP HTML Mail, un plugin per Wordpress utilizzato su oltre 20 mila siti, è afflitto da una vulnerabilità abbastanza grave che può portare all'iniezione di codice e alla distribuzione di email di phishing. Si tratta di un plugin che viene usato per realizzare email personalizzate, notifiche a moduli di contatti e messaggi che le piattaforme online iniviano al proprio pubblico.

WP HTML Mail è utilizzato con una certa frequenza anche per via dell'integrazione con altri plugin come WooCommerce, Ninja Forms e BuddyPress. Il numero di siti che ne fa uso può non apparire come particolarmente vasto, ma è bene osservare che molti di essi hanno un pubblico anche abbastanza vasto, andando quindi ad interessare potenzialmente numerosi utenti della rete.

A scoprire la vulnerabilità è stato il team di ricercatori di sicurezza di Wordfence, che indica come un attore di minaccia potrebbe sfruttarla per modificare il modello di posta elettronica in maniera tale che contenga dati ed elementi arbitrari da lui scelti. In questo modo diventa possibile anche inviare email di phishing agli utenti registrati ai siti che fanno uso di tale plugin.

Nel dettaglio il problema riguarda due API che sono usate per recuperare e aggiornare le impostazioni del modello di posta elettronica. Le API in questione non sono protette da accessi non autorizzati, il che consente anche ad utenti non autenticati di chiamare ed eseguire funzioni. Questo problema consentirebbe non solo l'esecuzione di attacchi phishing, ma anche l'iniezione di JavaScript dannosi nel modello di posta che verrebbero eseguiti ogni volta che l'amministratore del sito accede all'editor di posta HTML, con esiti potenzialmente pericolosi come l'aggiunta di nuovi account amministratore, il reindirizzamento dei visistatori del sito verso risorse dannose, l'inserimento di backdoor nei file del tema o la compromissione completa e il controllo del sito.

La falla è stata scoperta da Wordfence lo scorso 23 dicembre 2021 e immediatamente comunicata allo sviluppatore del plugin, il quale ha risposto solamente il 10 gennaio 2022. Il plugin è stato aggiornato il 13 gennaio nella versione 3.1, che risolve la falla. Ovviamente, a meno di aver attivato gli aggiornamenti automatici del plugin, il consiglio agli utilizzatori di WP HTML Mail è quello di verificare quale versione è installata ed, eventualmente, aggiornare manualmente.

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Tasslehoff21 Gennaio 2022, 11:46 #1
E chissà quante ce ne saranno in giro di vulnerabilità altrettanto gravi se non di più.

Wordpress è un magnifico progetto e per molti aspetti lo amo, però meriterebbe un lavoro di rifacimento totale per trasformarlo in qualcosa di più simile a Drupal.
Ormai è usato troppo e a sproposito per fare tutto e il contrario di tutto usando plugin di ogni tipo, spesso scritti coi piedi e spesso abbandonati dopo pochi anni senza più aggiornamenti.

Il peggio però è dietro le quinte, da quando è diventato così popolare sono spuntate figure "professionali" (le virgolette non sono casuali) del tutto fantasiose come il celebre "sviluppatore Wordpress" (semmai php? no, perchè di php non sanno nulla, conoscono solo plugin di Wordpress... ), oppure ho visto anche gente vantarsi del titolo di "Wordpress social media manager"
A queste si aggiungono personaggi di dubbia professionalità che si inventano "amministratori Wordpress", e di fatto non fanno altro che insozzare i siti di altri plugin senza sapere NULLA dei servizi su cui gira il sito in questione, su come fare un minimo sindacale di hardening, manutenzione o disaster recovery.

Mah sono sconfortato... per non dire inc...
cronos199021 Gennaio 2022, 11:56 #2
Il problema non è che è usato troppo o a sproposito. Il problema è che Wordpress è sempre stato un colabrodo lato sicurezza.

E il bello è che più lo usi, più ti rendi conto delle magagne sotto questo punto di vista. Sul mio ultimo sito, per dire, solo di recente ho realizzato che tra le tante magagne (di cui tante ho messo la pezza in anticipo... esperienza fatta negli anni ) c'è quella che la schermata di login per l'admin è "identica" per ogni sito
E wordpress non prevede di default la possibilità di cambiarla, devi per forza affidarti ad un plugin esterno.


Cioè...
rikyxxx21 Gennaio 2022, 20:49 #3
Originariamente inviato da: Redazione di Hardware Upgrade
Link alla notizia: https://www.hwupgrade.it/news/sicur...web_104161.html

Il plugin WP HTML Mail può essere sfruttato, per via di una vulnerabilità, anche senza autenticazione e consente di inviare mail di phishing e di iniettare codice dannoso nel sito che ne fa uso

Click sul link per visualizzare la notizia.


Un plugin che ha 20.000 installazioni stimate è poca roba. Ci sono plugin con più di 5 milioni di installazioni attive stimate.

Direi che la cosa è toppo piccola per lanciare un grido d'allarme...

Anche perchè non è automatico che chi abbia installato quel plugin sia bucabile al 100%, ci sono altri fattori in gioco.
rikyxxx21 Gennaio 2022, 20:50 #4
Originariamente inviato da: cronos1990
Il problema non è che è usato troppo o a sproposito. Il problema è che Wordpress è sempre stato un colabrodo lato sicurezza.


Per nulla, basta sapere quello che si sta facendo. Dopotutto la piattaforma opensource Wordpress (contrariamente a quanto si pensa per via della sua diffusione) non è nata ad uso e consumo delle masse.

Se uno non è del mestiere è meglio che si faccia il suo blog su Wordpress.com, cosi come non è colpa di WP se uno vuole giocare a fare il webmaster ma poi risultati, in termini di sicurezza ed efficienza, lasciano a desiderare...

- - -

Ti posso assicurare che i siti wp che ho sviluppato io e che amministro in prima persona, per i miei clienti, non sono mai stati bucati. Anche quelli che hanno milioni di views all'anno.

Poi si può bucare tutto per carità, ma non diamo la colpa a chi o cosa non ce l'ha, please.

Originariamente inviato da: cronos1990
E il bello è che più lo usi, più ti rendi conto delle magagne sotto questo punto di vista. Sul mio ultimo sito, per dire, solo di recente ho realizzato che tra le tante magagne (di cui tante ho messo la pezza in anticipo... esperienza fatta negli anni ) c'è quella che la schermata di login per l'admin è "identica" per ogni sito
E wordpress non prevede di default la possibilità di cambiarla, devi per forza affidarti ad un plugin esterno.

Cioè...


A parte che si può fare senza plugin, ma non vedo perchè il core di Wordpress dovrebbe offrire di default la possibilità di cambiare l'URL (non "schermata", che non significa nulla, ma URL) di login e dove sta il problema nel farlo con un plugin.

E comunque la cosa non è nemmeno fondamentale, o meglio ci vuole molto di più per mettere in sicurezza un sito WP.
rikyxxx21 Gennaio 2022, 20:57 #5
Originariamente inviato da: Tasslehoff
E chissà quante ce ne saranno in giro di vulnerabilità altrettanto gravi se non di più.

Wordpress è un magnifico progetto e per molti aspetti lo amo, però meriterebbe un lavoro di rifacimento totale per trasformarlo in qualcosa di più simile a Drupal.


Cioè?

Wp è migliorabile e vorrei ben vedere il contrario con tutti gli anni che ha sulle spalle, ma non mi risulta che Drupal sia un CMS così avanzato e/o moderno da far invidia a WP stesso.

Originariamente inviato da: Tasslehoff
Ormai è usato troppo e a sproposito per fare tutto e il contrario di tutto usando plugin di ogni tipo, spesso scritti coi piedi e spesso abbandonati dopo pochi anni senza più aggiornamenti.

Il peggio però è dietro le quinte, da quando è diventato così popolare sono spuntate figure "professionali" (le virgolette non sono casuali) del tutto fantasiose come il celebre "sviluppatore Wordpress" (semmai php? no, perchè di php non sanno nulla, conoscono solo plugin di Wordpress... ), oppure ho visto anche gente vantarsi del titolo di "Wordpress social media manager"
A queste si aggiungono personaggi di dubbia professionalità che si inventano "amministratori Wordpress", e di fatto non fanno altro che insozzare i siti di altri plugin senza sapere NULLA dei servizi su cui gira il sito in questione, su come fare un minimo sindacale di hardening, manutenzione o disaster recovery.

Mah sono sconfortato... per non dire inc...


Quelle figure "professionali" rispondono a una precisa domanda di mercato.

C'è chi vuole spendere poco. O magari deve spendere poco, non giudico nessuno. Ma alla fine se dai poco ottieni per forza poco, è sempre stato così.
rikyxxx21 Gennaio 2022, 21:14 #6
P.S.
Aggiungo che io sono ben felice che esistano questi sedicenti "professionisti" dilettanti, perchè chi li ha provati sulla propria pelle ha poi meno voglia di discutere i miei prezzi...
Tasslehoff27 Gennaio 2022, 23:56 #7
Originariamente inviato da: rikyxxx
Cioè?

Wp è migliorabile e vorrei ben vedere il contrario con tutti gli anni che ha sulle spalle, ma non mi risulta che Drupal sia un CMS così avanzato e/o moderno da far invidia a WP stesso.
Beh insomma, la logica di WP è pur sempre quella di un blog, è solo tramite plugin di terze parti che riesce a emulare la struttura di un sito generico (o specialistico diverso, tanto che c'è chi lo usa anche per fare e-commerce).
Il core di Drupal non ha niente da invidiare a CMS enterprise tipo quelli di Oracle o IBM, ha una tassonomia solida, poi ha anche meccanismo di caching più che validi e che Wordpress non ha per niente (salvo anche qui appoggiarsi a plugin di terze parti).

Wordpress se vogliamo è più "semplice" da manutenere perchè out of the box ha meccanismi di upgrade più semplici da usare e che possono essere gestiti tranquillamente da web, senza scomodare la console (es drush o composer), però proprio la forte dipendenza di Wordpress dai plugin di terze parti lo rende anche fragile, basta una cavolata in un plugin o un plugin abbandonato e il castello crolla.
Out of the box Drupal è più solido e fornisce una architettura più completa e generica di Wordpress.

Quelle figure "professionali" rispondono a una precisa domanda di mercato.

C'è chi vuole spendere poco. O magari deve spendere poco, non giudico nessuno. Ma alla fine se dai poco ottieni per forza poco, è sempre stato così.
Più che rispondere a una domanda di mercato imho rispondono alla incompetenza di chi commissiona i progetti, che si lascia abbindolare da figure evanescenti e che tecnicamente non hanno ragione di esistere.

Perfettamente d'accordo sulla tua conclusione, il punto è che questa logica dello "spendere poco" ha portato a dei danni enormi e anche a compromettere la reputazione di un prodotto (WP) che di per se è anche buono ed è oggettivamente una delle colonne portanti del web.

Originariamente inviato da: rikyxxx
P.S.
Aggiungo che io sono ben felice che esistano questi sedicenti "professionisti" dilettanti, perchè chi li ha provati sulla propria pelle ha poi meno voglia di discutere i miei prezzi...

Anche su questo possono essere d'accordo, <MILANESE_IMBRUTTITO>alla fine lavoriamo tutti per fatturare</MILANESE_IMBRUTTITO> e finchè ci sarà questa gente il lavoro non mancherà mai per chi ha voglia e capacità.
Però credo sarai d'accordo con me che (al di la di tante considerazioni serie, es sicurezza) tra lavorare a un progetto ben fatto e tappare i buchi a una cosa fatta con i piedi c'è una bella differenza, ed è certamente più divertente e stimolante la prima rispetto alla seconda

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^