Autore: La Redazione

Il popolare plugin multilingue di WordPress, WPML, installato su oltre 1.000.000 di siti web, ha patchato un Esecuzione di codice remoto (RCE) vulnerabilità (CVE-2024-6386) che i ricercatori hanno classificato come “Critico”, con un punteggio CVSS di 9,9Si consiglia vivamente agli utenti di aggiornare i propri siti web alla versione patchata, WPML 4.6.13.

Ricercatore di sicurezza Rotoli di stuoia (stealthcopter) ha scoperto e segnalato la vulnerabilità tramite il programma Wordfence Bug Bounty, guadagnandosi una ricompensa di 1.639 dollari.

István Márton di Wordfence ha spiegato: “Il plugin WPML per WordPress è vulnerabile all’esecuzione di codice remoto in tutte le versioni fino alla 4.6.12 inclusa tramite Twig Server-Side Template Injection. Ciò è dovuto alla mancata convalida dell’input e alla sanificazione sulla funzione di rendering. Ciò consente agli aggressori autenticati, con accesso di livello Contributor e superiore, di eseguire codice sul server”.

Matt Rollings ha definito questa vulnerabilità “un classico esempio dei pericoli di una sanificazione impropria degli input nei motori di creazione di template” e ha condiviso maggiori dettagli tecnici su questa vulnerabilità sul suo blog.

Negli ultimi otto giorni, i ricercatori hanno guadagnato 21.037 dollari come ricompense per aver segnalato tre vulnerabilità critiche dei plugin: DaiWP, Cache di LiteSpeede WPML.

Due vulnerabilità che interessano alcune versioni di Jupiter X Core, un plugin premium per la configurazione di siti web WordPress e WooCommerce, consentono il dirottamento degli account e il caricamento di file senza autenticazione.

Jupiter X Core è un editor visuale potente ma facile da usare, parte del tema Jupiter X, che viene utilizzato in oltre 172.000 siti web.

Rafie Muhammad, analista presso la società di sicurezza WordPress Patchstack, ha scoperto le due vulnerabilità critiche e le ha segnalate ad ArtBee, lo sviluppatore di Jupiter X Core, che ha affrontato la questione all’inizio di questo mese.

Dettagli del difetto

La prima vulnerabilità è stata identificata come CVE-2023-38388 e consente il caricamento di file senza autenticazione, il che potrebbe portare all’esecuzione di codice arbitrario sul server.

Il problema di sicurezza ha ricevuto un punteggio di gravità di 9.0 e ha un impatto su tutte le versioni di JupiterX Core a partire dalla 3.3.5 in poi. Lo sviluppatore ha risolto il problema nella versione 3.3.8 del plugin.

La vulnerabilità CVE-2023-38388 può essere sfruttata perché non ci sono controlli di autenticazione all’interno della funzione ‘upload_files’ del plugin, che può essere richiamata dal frontend da chiunque.

La patch del fornitore aggiunge un controllo per la funzione e attiva anche un secondo controllo per impedire il caricamento di tipi di file rischiosi.

La seconda vulnerabilità, CVE-2023-38389, consente agli aggressori non autenticati di prendere il controllo di qualsiasi account utente WordPress a condizione che conoscano l’indirizzo e-mail. Ha ricevuto una valutazione di gravità critica di 9,8 e ha un impatto su tutte le versioni di Jupiter X Core a partire dalla 3.3.8 e precedenti.

ArtBees ha risolto il problema il 9 agosto rilasciando la versione 3.4.3. Si consiglia a tutti gli utenti del plugin di aggiornare il componente all’ultima versione.

Rafi Muhammad spiega che il problema di fondo era che la funzione ‘ajax_handler’ nel processo di accesso a Facebook del plugin consentiva a un utente non autenticato di impostare qualsiasi meta ‘social-media-user-facebook-id’ di un utente WordPress con qualsiasi valore tramite la funzione ‘set_user_facebook_id’.

Poiché questo meta valore viene utilizzato per l’autenticazione utente in WordPress, un aggressore può sfruttarlo impropriamente per autenticarsi come qualsiasi utente registrato sul sito, compresi gli amministratori, purché utilizzino l’indirizzo email corretto.

La soluzione di ArtBees consiste nel recuperare l’indirizzo email richiesto e l’ID utente univoco direttamente dall’endpoint di autenticazione di Facebook, garantendo la legittimità del processo di accesso.

Si consiglia agli utenti del plugin JupiterX Core di eseguire l’aggiornamento alla versione 3.4.3 il prima possibile per mitigare i gravi rischi posti dalle due vulnerabilità.

Al momento in cui scriviamo non siamo riusciti a trovare segnalazioni pubbliche sullo sfruttamento in atto delle due vulnerabilità.

Gli hacker hanno già iniziato a sfruttare la vulnerabilità di gravità critica che colpisce LiteSpeed ​​Cache, un plugin di WordPress utilizzato per accelerare i tempi di risposta, un giorno dopo che i dettagli tecnici sono diventati pubblici.

Il problema di sicurezza è tracciato come CVE-2024-28000 e consente privilegi di escalation senza autenticazione in tutte le versioni del plugin WordPress fino alla 6.3.0.1.

La vulnerabilità deriva da un controllo hash debole nella funzionalità di simulazione utente del plugin, che può essere sfruttato dagli aggressori forzando il valore hash per creare account amministratore non autorizzati.

Ciò potrebbe portare al controllo completo dei siti web interessati, consentendo l’installazione di plugin dannosi, la modifica di impostazioni critiche, il reindirizzamento del traffico verso siti dannosi e il furto dei dati degli utenti.

Rafie Muhammad di Patchstack ha condiviso i dettagli su come innescare la generazione di hash in un post di ierimostra come forzare brute-force l’hash per aumentare i privilegi e quindi creare un nuovo account amministratore tramite la REST API.

Il metodo di Muhammad ha dimostrato che un attacco di forza bruta che analizza tutti i milioni di possibili valori hash di sicurezza a tre richieste al secondo può consentire l’accesso al sito a qualsiasi ID utente in un arco di tempo che va da poche ore a una settimana.

LiteSpeed ​​Cache è utilizzato da oltre 5 milioni di siti. Al momento in cui scrivo, solo circa il 30% eseguire una versione sicura del plugin, lasciando una superficie di attacco di milioni di siti web vulnerabili.

La società di sicurezza WordPress Wordfence segnala di aver rilevato e bloccato oltre 48.500 attacchi mirati al CVE-2024-28000 nelle ultime 24 ore, un dato che riflette un’intensa attività di sfruttamento.

Chloe Charmberland di Wordfence avvertito su questo scenario ieri, dicendo: “Non abbiamo dubbi che questa vulnerabilità verrà sfruttata attivamente molto presto”.

Questa è la seconda volta quest’anno che gli hacker prendono di mira LiteSpeed ​​Cache. A maggio, gli aggressori hanno utilizzato un difetto di cross-site scripting (CVE-2023-40000) per creare account amministratore non autorizzati e prendere il controllo di siti web vulnerabili.

All’epoca, WPScan aveva segnalato che gli autori della minaccia avevano iniziato a effettuare scansioni per individuare gli obiettivi ad aprile, con oltre 1,2 milioni di ricerche rilevate da un singolo indirizzo IP dannoso.

Si consiglia agli utenti di LiteSpeed ​​Cache di eseguire l’aggiornamento all’ultima versione disponibile, la 6.4.1, il prima possibile o di disinstallare il plugin dal proprio sito web.

Tento, un nuovo player fintech specializzato in strumenti di benessere finanziario per le aziende, è entusiasta di annunciare la sua selezione come prestatore esclusivo per WooCommerce negli Stati Uniti, il fiore all’occhiello commercio elettronico plugin per WordPress. Con oltre 3 milioni di negozi di commercianti alimentati da WooCommerce in tutto il mondo e oltre il 40% di Internet basato su WordPress, questa partnership ha il potenziale per offrire ai commercianti e ai titolari di attività strumenti personalizzati come capitale circolante, finanziamento di attrezzature, linee di credito e altro ancora.

Considerato l’attuale clima rigido e la mancanza di risorse per le piccole e medie imprese, i proprietari affrontano ostacoli significativi quando si tratta di costruire un buon credito aziendale e stabilire sane pratiche aziendali lungo il percorso. Con la missione di aiutare le aziende a innescare una crescita a lungo termine, la suite di prodotti finanziari innovativi e radicalmente semplici di Tento è dotata di consistenti ricompense e risparmi per le aziende che crescono lungo il percorso.

“Siamo incredibilmente entusiasti di collaborare con WooCommerce e diventare il prestatore esclusivo per i loro utenti”, afferma Andrea PaulsonCEO di Tento. “Tento è stato creato per i titolari di attività dai titolari di attività. Non esiste una piattaforma che faccia il tifo per i titolari di attività quotidiane più di Woo: ecco perché quasi metà di Internet usa WordPress e perché WooCommerce è la piattaforma di e-commerce più utilizzata. Insieme, possiamo davvero aiutare a guidare la crescita di queste attività fornendo una solida base”.

In qualità di finanziatore esclusivo per WooCommerce, Tento fornirà soluzioni di prestito personalizzate che soddisfano le esigenze specifiche della variegata comunità di commercianti di WooCommerce, dai marchi noti e noti fino ai liberi professionisti alle prime armi.

“Tento e WooCommerce sono partner di piattaforma naturali”, afferma Anni faDirettore delle partnership presso WooCommerce. “Condividiamo una missione più ampia per aiutare i commercianti a costruire attività sane a lungo termine e Tento fornisce ai nostri milioni di commercianti gli strumenti essenziali di cui hanno bisogno per avere successo”.

Per ulteriori aggiornamenti, seguici su Google News Notizie Martech

Fino a 5 milioni di installazioni del plugin LiteSpeed ​​Cache WordPress sono vulnerabili a un exploit che consente agli hacker di ottenere diritti di amministratore e caricare file e plugin dannosi

La vulnerabilità è stata inizialmente segnalata a Patchstack, un’azienda di sicurezza WordPress, che ha informato lo sviluppatore del plugin e ha atteso che la vulnerabilità fosse risolta prima di fare un annuncio pubblico.

Il fondatore di Patchstack, Oliver Sild, ne ha parlato con Search Engine Journal e ha fornito informazioni di base su come è stata scoperta la vulnerabilità e sulla sua gravità.

Sild ha condiviso:

“È stato segnalato tramite il programma Patchstack WordPress Bug Bounty che offre premi ai ricercatori di sicurezza che segnalano vulnerabilità. Il report si è qualificato per un premio di 14.400 USD. Lavoriamo direttamente sia con il ricercatore che con lo sviluppatore del plugin per garantire che le vulnerabilità vengano corrette correttamente prima della divulgazione pubblica.

Abbiamo monitorato l’ecosistema WordPress per possibili tentativi di sfruttamento dall’inizio di agosto e finora non ci sono segnali di sfruttamento di massa. Ma ci aspettiamo che questo diventi presto uno sfruttamento.”

Alla domanda sulla gravità di questa vulnerabilità, Sild ha risposto:

“È una vulnerabilità critica, resa particolarmente pericolosa dalla sua ampia base di installazione. Gli hacker la stanno sicuramente esaminando mentre parliamo.”

Cosa ha causato la vulnerabilità?

Secondo Patchstack, il compromesso è sorto a causa di una funzionalità del plugin che crea un utente temporaneo che esplora il sito per poi creare una cache delle pagine web. Una cache è una copia delle risorse delle pagine web che vengono archiviate e consegnate ai browser quando richiedono una pagina web. Una cache velocizza le pagine web riducendo il numero di volte in cui un server deve recuperare da un database per servire le pagine web.

La spiegazione tecnica di Patchstack:

“La vulnerabilità sfrutta una funzionalità di simulazione dell’utente nel plugin, protetta da un hash di sicurezza debole che utilizza valori noti.

…Purtroppo, questa generazione di hash di sicurezza soffre di diversi problemi che rendono noti i suoi possibili valori.”

Raccomandazione

Gli utenti del plugin LiteSpeed ​​WordPress sono incoraggiati ad aggiornare immediatamente i loro siti perché gli hacker potrebbero dare la caccia ai siti WordPress per sfruttarli. La vulnerabilità è stata risolta nella versione 6.4.1 il 19 agosto.

Gli utenti della soluzione di sicurezza Patchstack WordPress ricevono una mitigazione immediata delle vulnerabilità. Patchstack è disponibile in una versione gratuita e la versione a pagamento costa appena $ 5/mese.

Per saperne di più sulla vulnerabilità:

Escalation dei privilegi critici nel plugin LiteSpeed ​​Cache che interessa oltre 5 milioni di siti

Immagine in evidenza di Shutterstock/Asier Romero

Oltre 17.000 siti web WordPress sono stati vittime di molteplici campagne Balada Injector che sfruttano difetti noti nei plugin dei temi premium. (Archivio) | Credito fotografico: REUTERS

Oltre 17.000 I siti web WordPress sono caduti vittime a molteplici campagne Balada Injector che sfruttano difetti noti nei plugin dei temi premium, secondo un rapporto di Bleeping Computer.

Balada Injecto sfrutta queste falle per inserire furtivamente una backdoor Linux nei siti web.

Questa backdoor reindirizza i visitatori a pagine di supporto tecnico false, false vincite alla lotteria e truffe tramite notifiche push, che probabilmente fanno parte di truffe o sono vendute come servizio ai truffatori.

Il rapporto di Sucuri dell’aprile 2023 ha rivelato che Balada Injector è attivo dal 2017 e interessa quasi un milione di siti WordPress.

(Per le principali notizie tecnologiche del giorno, iscriviti alla nostra newsletter tecnologica (Oggi Cache)

L’ultima campagna prende di mira una vulnerabilità specifica nota come CVE-2023-3169 riscontrata in tagDiv Composer, uno strumento spesso utilizzato con temi WordPress molto diffusi come Newspaper e Newsmag, che mette a rischio un numero considerevole di siti web.

Gli attacchi sono iniziati a metà settembre, quando sono stati resi noti i dettagli della vulnerabilità, che ha consentito agli autori della minaccia di iniettare codice dannoso che induce gli utenti a visitare siti web truffaldini.

Ci sono state sei ondate di attacchi, ciascuna con tattiche uniche. Il rapporto di Sucuri evidenzia che migliaia di siti web sono già stati colpiti da questa campagna. I segnali di questo sfruttamento includono strane iniezioni di script e codici nascosti nel database del sito web.

Per proteggersi da Balada Injector, aggiornare il plugin tagDiv Composer alla versione 4.2 o superiore. Si consiglia vivamente ai proprietari di siti Web di aggiornare tempestivamente i propri temi, installare plugin di sicurezza come Wordfence e modificare le password.

Inoltre, Sucuri offre uno scanner gratuito per aiutare a identificare potenziali problemi. Poiché gli aggressori si adattano rapidamente, i proprietari di siti Web devono rimanere vigili e adottare misure di sicurezza proattive per proteggersi da Balada Injector.

22 agosto 2024Ravie LaxmanSicurezza del sito web / Vulnerabilità

I ricercatori di sicurezza informatica hanno rivelato una falla di sicurezza critica nel Cache di LiteSpeed plugin per WordPress che potrebbe consentire agli utenti non autenticati di ottenere privilegi di amministratore.

“Il plugin soffre di una vulnerabilità di escalation dei privilegi non autenticati che consente a qualsiasi visitatore non autenticato di ottenere l’accesso di livello amministratore, dopodiché potrebbero essere caricati e installati plugin dannosi”, ha affermato Rafie Muhammad di Patchstack. disse in un rapporto di mercoledì.

La vulnerabilità, tracciata come CVE-2024-28000 (punteggio CVSS: 9,8), è stata corretta nella versione 6.4 del plugin rilasciata il 13 agosto 2024. Ha un impatto su tutte le versioni del plugin, inclusa e precedente alla 6.3.0.1.

LiteSpeed ​​Cache è uno dei plugin di caching più utilizzati in WordPress, con oltre cinque milioni di installazioni attive.

In poche parole, CVE-2024-28000 consente a un aggressore non autenticato di falsificare il proprio ID utente e registrarsi come utente di livello amministrativo, ottenendo di fatto i privilegi per assumere il controllo di un sito WordPress vulnerabile.

La vulnerabilità è dovuta a una funzionalità di simulazione utente nel plugin che utilizza un hash di sicurezza debole, danneggiato dall’uso di un numero casuale facilmente indovinabile come seed.

Nello specifico, ci sono solo un milione di valori possibili per l’hash di sicurezza, perché il generatore di numeri casuali è derivato dalla porzione di microsecondi dell’ora corrente. Inoltre, il generatore di numeri casuali non è crittograficamente sicuro e l’hash generato non è né salato né legato a una richiesta specifica o a un utente.

“Ciò è dovuto al fatto che il plugin non limita correttamente la funzionalità di simulazione del ruolo che consente a un utente di impostare il proprio ID corrente su quello di un amministratore, se ha accesso a un hash valido che può essere trovato nei registri di debug o tramite forza bruta”, Wordfence disse nel suo stesso stato di allerta.

“Ciò consente ad aggressori non autenticati di falsificare il proprio ID utente con quello di un amministratore e quindi creare un nuovo account utente con il ruolo di amministratore utilizzando l’endpoint API REST /wp-json/wp/v2/users.”

È importante notare che la vulnerabilità non può essere sfruttata su installazioni WordPress basate su Windows a causa della dipendenza della funzione di generazione hash da un metodo PHP chiamato sys_getloadavg() non implementato su Windows.

“Questa vulnerabilità evidenzia l’importanza fondamentale di garantire la solidità e l’imprevedibilità dei valori utilizzati come hash o nonce di sicurezza”, ha affermato Muhammad.

Con un difetto precedentemente divulgato in LiteSpeed ​​Cache (CVE-2023-40000Punteggio CVSS: 8,3) sfruttato da malintenzionati, è fondamentale che gli utenti agiscano rapidamente per aggiornare le proprie istanze all’ultima versione.

Se il tuo sito web WordPress esegue il plugin Modern Events Calendar, assicurati di aggiornarlo immediatamente, poiché presenta una vulnerabilità di elevata gravità che può essere sfruttata per il controllo completo del sito web. A peggiorare le cose, i ricercatori affermano che gli hacker stanno già sfruttando la falla in natura.

La ricercatrice di sicurezza informatica Friderika Baranyai ha scoperto per la prima volta il problema a fine maggio 2024 durante la Wordfence Bug Bounty Extravaganza. È descritto come un bug di convalida del tipo di file mancante, ora tracciato come CVE-2024-5441. Ha un punteggio di gravità di 8,8 (alto).