I ricercatori di sicurezza di Wordfence e WebARX hanno identificato diverse vulnerabilità pericolose in cinque plugin per il sistema di gestione dei contenuti web WordPress, per un totale di oltre un milione di installazioni.
- nel plugin , che conta più di 700mila installazioni. Al problema è stato assegnato un livello di gravità pari a 9 su 10 (CVSS). La vulnerabilità consente a un utente autenticato con diritti di abbonato di eliminare o nascondere (cambiare lo stato in bozza non pubblicata) qualsiasi pagina del sito, nonché di sostituire il proprio contenuto sulle pagine.
vulnerabilità nella versione 1.8.3. - nel plugin , che conta più di 200mila installazioni (sono stati registrati veri e propri attacchi ai siti, dopo l'inizio dei quali e la comparsa di dati sulla vulnerabilità, il numero di installazioni è già sceso a 100mila). La vulnerabilità consente a un visitatore non autenticato di cancellare il contenuto del database del sito e reimpostare il database a uno stato di nuova installazione. Se nel database è presente un utente denominato admin, la vulnerabilità consente anche di ottenere il pieno controllo del sito. La vulnerabilità è causata dalla mancata autenticazione di un utente che tenta di emettere comandi privilegiati tramite lo script /wp-admin/admin-ajax.php. Il problema è stato risolto nella versione 1.6.2.
- nel plugin , utilizzato su 44mila siti. Al problema è assegnato un livello di gravità di 9.8 su 10. La vulnerabilità consente a un utente non autenticato di eseguire il proprio codice PHP sul server e sostituire l'account dell'amministratore del sito inviando una richiesta speciale tramite REST-API.
Casi di sfruttamento della vulnerabilità sono già stati registrati in rete, ma non è ancora disponibile un aggiornamento con un fix. Si consiglia agli utenti di rimuovere questo plugin il più rapidamente possibile. - nel plugin , che conta 60mila installazioni. Al problema è stato assegnato un livello di gravità di 8.8 su 10. La vulnerabilità consente a qualsiasi visitatore autenticato, compresi quelli con diritti di abbonato, di aumentare i propri privilegi all'amministratore del sito o ottenere l'accesso al pannello di controllo wpCentral. Il problema è stato risolto nella versione 1.5.1.
- nel plugin , con circa 65mila installazioni. Al problema è assegnato un livello di gravità di 10 su 10. La vulnerabilità consente a un utente non autenticato di creare un account con diritti di amministratore (il plugin consente di creare moduli di registrazione e l'utente può semplicemente passare un campo aggiuntivo con il ruolo dell'utente, assegnando è il livello di amministratore). Il problema è stato risolto nella versione 3.1.1.
Inoltre, si può notare reti per la distribuzione di plugin Trojan e temi WordPress. Gli aggressori hanno collocato copie piratate di plugin a pagamento su directory fittizie, dopo avervi integrato una backdoor per ottenere l'accesso remoto e scaricare comandi dal server di controllo. Una volta attivato, il codice dannoso veniva utilizzato per inserire pubblicità dannosa o ingannevole (ad esempio, avvisi sulla necessità di installare un antivirus o aggiornare il browser), nonché per l'ottimizzazione dei motori di ricerca per promuovere siti che distribuiscono plugin dannosi. Secondo i dati preliminari, più di 20mila siti sono stati compromessi utilizzando questi plugin. Tra le vittime figurano una piattaforma di mining decentralizzata, un'impresa commerciale, una banca, diverse grandi aziende, uno sviluppatore di soluzioni per pagamenti con carte di credito, società informatiche, ecc.
Fonte: opennet.ru