Gli hacker stanno sfruttando attivamente una vulnerabilità recentemente risolta nel plugin WordPress Advanced Custom Fields circa 24 ore dopo che un exploit proof-of-concept (PoC) è stato reso pubblico.
La vulnerabilità in questione è CVE-2023-30777, un difetto di cross-site scripting (XSS) riflesso di elevata gravità che consente agli aggressori non autenticati di rubare informazioni sensibili e aumentare i propri privilegi sui siti WordPress interessati.
La falla è stata scoperta dalla società di sicurezza dei siti Web Patchstack il 2 maggio 2023 ed è stata divulgata insieme a un exploit proof-of-concept il 5 maggioun giorno dopo che il fornitore del plugin aveva rilasciato un aggiornamento di sicurezza con la versione 6.1.6.
Come riportato ieri dall’Akamai Security Intelligence Group (SIG), a partire dal 6 maggio 2023, è stata osservata un’attività significativa di scansione e sfruttamento utilizzando il codice di esempio fornito nell’articolo di Patchstack.
“Il SIG di Akamai ha analizzato i dati sugli attacchi XSS e ha identificato gli attacchi che hanno avuto inizio entro 24 ore dalla pubblicazione del PoC dell’exploit,” si legge il rapporto.
“Ciò che è particolarmente interessante è la query stessa: l’autore della minaccia ha copiato e utilizzato il codice di esempio Patchstack dall’articolo.”
Tentativi di sfruttamento da parte di un singolo attore della minaccia(Akamai)
Considerando che oltre 1,4 milioni di siti web che utilizzano il plugin WordPress interessato non sono stati aggiornati alla versione più recente, basato sulle statistiche di wordpress.orggli aggressori hanno una superficie di attacco piuttosto ampia da esplorare.
La falla XSS richiede il coinvolgimento di un utente registrato che ha accesso al plugin per eseguire codice dannoso sul proprio browser che fornirà agli aggressori un accesso privilegiato al sito.
Le scansioni dannose indicano che questo fattore di mitigazione non scoraggia gli autori delle minacce che confidano di poterlo superare attraverso trucchi di base e ingegneria sociale.
Inoltre, l’exploit funziona sulle configurazioni predefinite delle versioni dei plugin interessate, il che aumenta le possibilità di successo per gli autori delle minacce senza richiedere ulteriori sforzi.
Gli amministratori dei siti WordPress che utilizzano i plugin vulnerabili sono invitati ad applicare immediatamente la patch disponibile per proteggersi dalle continue attività di scansione e sfruttamento.
L’azione consigliata è aggiornare i plugin gratuiti e professionali “Advanced Custom Fields” alla versione 5.12.6 (backport) e 6.1.6.
Modern Tribe lancia un importante aggiornamento del suo plugin per il calendario degli eventi WordPress
Il miglior plugin di calendario per WordPress, The Events Calendar, ha rilasciato una nuova versione che è stata ricostruita da zero. Il nuovo plugin, versione 5, include una visualizzazione ed un’esperienza del calendario completamente ridisegnate.
Il calendario degli eventi versione 5 su iPhone
Il Calendario degli Eventi è stato creato più di dieci anni fa ed è ora installato su oltre 800.000 WordPress siti. La sua popolarità è dovuta in parte al suo robusto set di funzionalità e alla facilità d’uso. Poiché il plugin è stato migliorato nel tempo, il suo design è rimasto indietro. Tribù modernal’agenzia di progettazione e sviluppo digitale dietro The Events Calendar, ha deciso che era finalmente giunto il momento di riprogettare e modernizzare il calendario UX.
WordPress webmaster che utilizzano il plugin saranno piacevolmente sorpresi dalla nuova versione. IL interfaccia utente ha un aspetto fresco e minimalista che si integra bene con la maggior parte dei temi WordPress e tutte le visualizzazioni del calendario sono ottimizzate per i dispositivi mobili. La riprogettazione include anche una nuova visualizzazione della mappa che è stata notevolmente migliorata.
Il calendario degli eventi è gratuito Versione principale e basato su abbonamento Versione Pro. Il plugin può essere esteso con componenti aggiuntivi, come il suo Aggregatore di eventiche può importare automaticamente eventi da Meetup, Eventbrite, Google Calendar, iCalendar e altri URL.
Jon Henshaw è il fondatore di Coywolf e un veterano del settore con quasi tre decenni di esperienza SEOesperienza nel marketing digitale e nelle tecnologie web. Seguire @[email protected]
WordPress.org ha annunciato che i plugin e i temi che sono versioni piratate di plugin e temi a pagamento verranno rimossi dai repository ufficiali di WordPress. La comunità di WordPress ha discusso se tale approccio violasse la licenza GPL Open Source di WordPress che consente la distribuzione di opere derivate.
L’annuncio stesso affermava che i plugin premium sono sviluppati sotto la licenza GPL che consente la creazione di opere derivate. Ma si riserva anche il diritto di rimuovere i plugin dal repository ufficiale dei plugin.
WordPress ospita temi e plugin piratati?
A quanto pare i repository ufficiali di temi e plugin di WordPress hanno distribuito in passato versioni piratate di plugin e temi premium. Uno sviluppatore ha affermato che WordPress lo fa ancora.
“Ma ma… 2 o 3 anni fa ti ho avvisato di un plugin che rubava codice, funzioni e persino elementi della dashboard ‘parola per parola’ dai miei plugin e tu non volevi fare nulla…”
WordPress GPL OpenSource
WordPress afferma che i plugin e i temi sviluppati per WordPress che contengono codice WordPress sono opere derivate. Per questo motivo, tali plugin e temi ereditano la licenza GPL open source.
WordPress spiega la licenza GPL in questo modo:
“GPL è l’acronimo di GNU Public License. È la licenza standard utilizzata da WordPress per le licenze Open Source https://wordpress.org/about/license/.
Ciò significa che il lavoro derivato può essere distribuito solo con gli stessi termini di licenza. Ciò si differenzia dalle licenze permissive del software libero, di cui la licenza BSD e la licenza MIT sono esempi ampiamente utilizzati.
È chiaro che chiunque è libero di creare opere derivate basate su tutti i plugin e temi considerati opere derivate.
Detto questo, la pagina della licenza pubblica GNU di WordPress.org riconosce che potrebbero esserci aree grigie legali su ciò che è considerato un lavoro derivato.
“Esiste una zona grigia dal punto di vista legale riguardo a ciò che è considerato un lavoro derivato, ma siamo fermamente convinti che plugin e temi siano lavori derivati e quindi ereditino la licenza GPL.”
Plugin piratati vietati dai repository WordPress
WordPress.org mantiene una directory di plugin e temi gratuiti disponibili per il download. La directory è chiamata repository. Ad esempio, la directory in cui è possibile scaricare i temi si chiama “il repository ufficiale dei temi WordPress.org.”
Esiste un processo di approvazione che deve essere superato prima di essere elencato nei repository. Ma una volta approvato, un tema o un plugin vengono inseriti nell’ecosistema WordPress e sono disponibili gratuitamente per tutti gli editori WordPress.
Software piratato vietato su WordPress.org
L’annuncio diceva:
“Prendere il codice a pagamento di qualcuno e rilasciarlo gratuitamente è considerato pirateria e qui non è il benvenuto.
Non importa se il codice è GPL, l’importante è che stai rubando l’opportunità agli sviluppatori originali di guadagnarsi da vivere, e riteniamo che ciò sia dannoso per la comunità.
Inoltre, spesso ciò viola i termini che hai accettato quando hai scaricato il plug-in dallo sviluppatore.
Facendolo e rehosting qui, metti in pericolo l’intera directory. Probabilmente diventiamo responsabili delle tue azioni. Pertanto, non consentiamo che i plugin venduti da WordPress.org vengano ri-ospitati qui.”
Feedback della community di WordPress
La comunità ha ampiamente sostenuto l’intento dietro il divieto di plugin premium piratati e cloni di temi. Eppure c’era ancora qualche dubbio sulla legalità del software piratato e se forse WordPress.org stesse esagerando vietando il software clonato.
“Penso che la formulazione del post sia problematica, mentre in generale sono d’accordo con il sentimento, i suoi riferimenti alla GNU GPL v2 e l’uso del termine “pirateria” (nessun attaccante a bordo di navi o imbarcazioni è stato coinvolto) e “rubato” ( nessuno ha perso ciò a cui aveva diritto) quando le persone esercitano un diritto delineato nella filosofia stessa del progetto WordPress.
…WordPress è distribuito sotto la licenza GNU GPLv2, lo stesso progetto WordPress afferma che plugin e moduli sono “opere derivate”. La GNU GPLv2 esclude esplicitamente termini aggiuntivi applicati alla distribuzione del codice sorgente.
…La filosofia dei progetti WordPress supporta specificamente la ridistribuzione senza la necessità di chiedere il permesso ai suoi creatori.”
Un’altra persona ha affermato che la pirateria di plugin e temi premium costituisce ancora una violazione del copyright.
“Le licenze open source non sostituiscono il copyright. L’autore originale lo possiede ancora e se qualcuno travisa il codice come proprio, mentre viene derubato – o educatamente messo “biforcato” – dal codice di qualcun altro, *sta* violando il copyright dell’autore.
La persona che ha pubblicato l’annuncio ufficiale ha affermato che l’attività vietata da WordPress costituisce effettivamente una violazione del diritto d’autore.
“Queste non sono persone che creano biforcazioni e modificano il codice, sono letteralmente persone che ne fanno una copia, dove le uniche modifiche servono a nascondere da chi hanno preso il codice. Nessuna nuova funzionalità, niente.
Attenzione ai plugin e ai temi piratati
Alcuni plugin costano centinaia di dollari all’anno perché ci vogliono team di persone per svilupparli. L’utilizzo di tale software priva queste persone di guadagni.
È forte la tentazione di scaricare un tema o plugin WordPress gratuito che sia esattamente uguale a una versione premium che può costare cento dollari o più.
Tuttavia è importante essere consapevoli che il software piratato può contenere anche backdoor e programmi progettati per prendere il controllo di un sito web.
Nel complesso potrebbe essere una buona idea per l’intera comunità di WordPress, dagli sviluppatori di software agli editori che si affidano a WordPress, che ai ladri di software non autorizzati non sia consentito distribuire i loro plugin e temi piratati dai repository ufficiali di WordPress.
Sia che tu abbia uno dei i migliori piani hosting WordPresso no, potresti essere un bersaglio per i criminali informatici. Ciò è chiaro dopo la rivelazione che gli utenti di un popolare plugin per WordPress potrebbero essere vulnerabili ai criminali informatici se non utilizzano la versione più recente.
Secondo i ricercatori della società di sicurezza Defiant specializzata in WordPress, un difetto nel Beautiful Cookie Consent Banner lascia i siti con il plugin installato a rischio di attacchi Cross-Site Scripting, altrimenti noti come XSS.
Questo tipo di minaccia si verifica essenzialmente quando malintenzionati (come vengono spesso chiamati hacker e criminali informatici negli ambienti di sicurezza online) infettano siti Web con codice JavaScript dannoso tramite una vulnerabilità, come quella trovata nel plug-in. Possono quindi intraprendere un numero qualsiasi di azioni non autorizzate, che si tratti di rubare informazioni sensibili, organizzare un attacco malware o addirittura assumere completamente il controllo del sito Web in questione.
Fino a 1,5 milioni di attacchi collegati a Flaw
Ram Gall, un ricercatore di sicurezza e parte del team Defiant, ha condiviso tutti i dettagli della vulnerabilità sul sito Sito web di Wordfence.
La versione breve è che il difetto del Beautiful Cookie Consent Banner consente agli hacker di creare falsi account amministratori di WordPress, che teoricamente danno loro l’accesso e il controllo di interi siti web.
Secondo lui fino a 1,5 milioni di siti web potrebbero essere stati presi di mira da ben 3 milioni di attacchi separati, tutti legati al difetto Beautiful Cookie Consent Banner. Se queste sono già abbastanza brutte notizie per un fine settimana, non preoccuparti: c’è un lato positivo in questa particolare nuvola.
Cosa dovrebbero fare gli utenti di cookie meravigliosi in questo momento
Gall aggiunge che i creatori di Beautiful Cookie hanno già rilasciato una patch che risolve il difetto. Ciò significa che è facile proteggere te stesso e il tuo sito web dalla vulnerabilità sopra menzionata.
Per essere sicuri di essere completamente protetti dagli attacchi XSS, chiunque utilizzi (o pensi di utilizzare) il plug-in dovrebbe assicurarsi di eseguire la versione 2.10.2. Questa è la versione più recente e quella che dovrebbe essere scaricata automaticamente se sei nuovo al plugin, anche se vale la pena controllarla per ogni evenienza.
I webmaster con versioni precedenti del plugin sono invitati ad aggiornarsi alla versione con patch, anche se Gall e il suo team non ritengono che la vulnerabilità sia critica nella sua forma attuale.
Gli hacker sfruttano attivamente una vulnerabilità zero-day nel plugin WordPress Ultimate Member per aumentare i privilegi: con l’aiuto di questo bug gli aggressori hackerano siti, aggirano la protezione e creano nuovi account amministratore. IL Membro Ultimo il plugin è progettato per facilitare la registrazione e la creazione di comunità su WordPress siti e attualmente conta più di 200.000 installazioni attive.
Vulnerabilità di 0 giorni del plugin WordPress per membri Ultimate
La vulnerabilità usata in natura ha ricevuto l’identificatore CVE-2023-3460 e un punteggio di 9,8 sulla scala CVSS. Il punteggio massimo è 10, quindi puoi capire quanto sia critico. Il problema riguarda tutte le versioni di Ultimate Member, inclusa l’ultima versione 2.6.6. Inizialmente gli sviluppatori hanno provato a correggere la vulnerabilità nelle versioni 2.6.3, 2.6.4, 2.6.5 e 2.6.6. Tuttavia, sembra che la vulnerabilità sia più profonda. Gli autori del plugin dichiarano di continuare a lavorare per risolvere i problemi rimanenti e spero di rilasciare una nuova patch nel prossimo futuro.
Le versioni 2.6.4, 2.6.5, 2.6.6 risolvono parzialmente la vulnerabilità, ma stiamo ancora lavorando con WPScan comando per ottenere il miglior risultato. Tutte le versioni precedenti [of the plugin] sono vulnerabili, quindi ti consigliamo vivamente di aggiornare i tuoi siti alla versione 2.6.6 e di seguire gli aggiornamenti futuri per ottenere gli ultimi miglioramenti in termini di sicurezza e funzionalità.scrivono gli sviluppatori.
Come funziona?
Attacchi a una vulnerabilità in Ultimate Member sono stati rilevati da Wordfence specialistiche avvertono che i criminali utilizzano un bug nel modulo di registrazione del plugin per impostare metavalori arbitrari per i propri account.
In particolare, gli hacker impostano il metavalore wp_capabilities per assegnarsi il ruolo di amministratore. Ovviamente, ciò dà loro pieno accesso alla risorsa vulnerabile. Il plugin ha una lista nera di chiavi che gli utenti non possono aggiornare, il che potrebbe facilitare il problema. Ciò nonostante, lo dicono i ricercatori è abbastanza facile aggirare questa misura protettiva.
Siti compromessi utilizzando CVE-2023-3460 avrà i seguenti indicatori di compromesso:
la comparsa di nuovi documenti amministrativi sul sito;
uso di wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal;
registri che mostrano che indirizzi IP noti per essere dannosi hanno avuto accesso alla pagina di registrazione dell’Ultimate Member;
registra l’accesso corretto con 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 e 172.70.147.176;
la comparsa di un record con un indirizzo email associato a exelica.com;
installazione di nuovi plugin e di quelli presenti sul sito.
La vulnerabilità critica rimane non risolta ed estremamente facile da usare. WordFence consiglia a tutti gli amministratori di rimuovere immediatamente il plug-in Ultimate Member. Gli esperti spiegano che anche le specifiche configurazioni del firewall non coprono tutti i possibili scenari di sfruttamento. Quindi per ora rimuovere il plugin rimane l’unica soluzione possibile.
Un plug-in di abbonamento può trasformare un sito WordPress in una risorsa per contenuti in abbonamento, corsi, una community a pagamento e altro ancora. Vendi l’accesso una tantum o ricorrente a post specifici, download digitali e persino funzionalità personalizzate.
Ecco un elenco di plugin di abbonamento per WordPress. La maggior parte offre funzionalità multiple, come livelli di accesso e contenuti nascosti, che possono essere adattate alla tua attività.
MemberPress ti consente di creare, gestire e tenere traccia degli abbonamenti e delle vendite degli abbonamenti prodotti per il download digitale. Gestisci i tuoi membri concedendo e revocando il loro accesso a post, pagine, video, categorie, tag, feed, community, file digitali e altro ancora. Utilizza il componente aggiuntivo dei corsi per creare e offrire istruzioni online. Le funzionalità includono il dripping dei contenuti e la scadenza dell’accesso ai contenuti. Prezzo: i piani partono da $ 179 all’anno.
Limita contenuto Prouna parte di iThemes, ti consente di creare abbonamenti gratuiti, di prova e premium. I clienti possono eseguire l’upgrade e il downgrade tra i livelli di abbonamento ogni volta che lo desiderano. Limita i prodotti tramite livelli di abbonamento specifici o automaticamente in base alla categoria. Controlla chi può visualizzare o acquistare prodotti in WooCommerce. Prezzo: i piani partono da $ 99 all’anno.
Abbonamenti WooCommerce riunisce i tuoi contenuti, il tuo negozio e i tuoi abbonamenti. Vendi l’accesso agli abbonamenti con l’acquisto di prodotti, assegna manualmente gli abbonamenti e integra i vantaggi per i membri nel tuo negozio. Rilascia i contenuti nel tempo per pianificare quando i membri avranno accesso. Limita la visualizzazione o l’acquisto di prodotti ai soli membri. Prezzo: $ 199 all’anno.
Abbonamenti a pagamento Pro è progettato per siti con contenuti premium, club, associazioni, prodotti in abbonamento, newsletter e altro ancora. Limitare l’accesso ai soli membri. Crea livelli di abbonamento illimitati con prezzi flessibili, inclusi abbonamenti gratuiti, prove, pagamenti e abbonamenti ricorrenti, pagamenti una tantum e altro ancora. Integrazione con Stripe, PayPal e altri gateway popolari. L’integrazione WooCommerce ti consente di vendere gli abbonamenti come prodotto o di offrire sconti riservati ai soli membri. Prezzo: Basic è gratuito. I piani premium partono da $ 297 all’anno.
MemberMouse ti consente di vendere qualsiasi prodotto o abbonamento con opzioni di pagamento e profili di fatturazione flessibili. Proteggi le pagine con password per fornire contenuti premium, PDF, video, software e altro ancora. Offri contenuti drip e programmati. Gestisci membri gratuiti e a pagamento. Metti la gestione dei tuoi membri sul pilota automatico. Ottieni metriche critiche, tra cui vendite, lifetime value per fonte, fidelizzazione e altro ancora. Prezzo: i piani partono da $ 29 al mese.
Membro della lista dei desideri ti consente di gestire post, file e pagine con contenuti riservati ai soli membri. Stabilisci diversi livelli di abbonamento: gratuito, premium o pay-per-post. Crea snippet di “anteprima” per invogliare i visitatori. Trasmetti contenuti ai nuovi membri e pianifica i post affinché vengano pubblicati in date precise. Integrazione con 2CheckOut, Authorize.Net, ClickBank, PayPal, Stripe, WooCommerce e altri principali fornitori e carrelli di pagamento. Prezzo: i piani partono da $ 147 all’anno.
s2Membro ti consente di vendere abbonamenti ricorrenti (o non ricorrenti) e l’accesso “acquista ora”. Vendi l’accesso a post, pagine o download di file specifici. Proteggi i contenuti e offri agli utenti un pagamento sicuro che si integra perfettamente con i ruoli e le funzionalità di WordPress. Si integra con Stripe, PayPal Standard, PayPal Pro, Authorize.Net e ClickBank. Prezzo: Basic è gratuito. Le versioni premium partono da $ 89 (tariffa una tantum).
Abbonamenti membri a pagamentodi Cozmoslabs, è un plugin WordPress facile da configurare per creare un sito Web di appartenenza. Crea e gestisci iscrizioni gerarchiche dei membri, concedi e revoca l’accesso a post, pagine e categorie, nonché tipi di post personalizzati in base alle iscrizioni. Limita interi post, pagine o tipi di post personalizzati o solo parti di essi. Configura i tuoi abbonamenti per avere una prova gratuita e una quota di iscrizione. Tieni traccia di tutti i pagamenti dei membri, degli stati di pagamento e dei piani di abbonamento acquistati. Prezzo: a partire da 69€.
Membri del WPdi RocketGeek, trasforma il tuo blog WordPress in un sito basato sull’iscrizione, per newsletter, post privati e contenuti premium. WP-Members mette il processo di registrazione in linea con i tuoi contenuti e il tema del tuo marchio invece della pagina di accesso WP nativa. Integrazione con WooCommerce, BuddyPress, bbPress, campi personalizzati avanzati, download digitali facili e calendario degli eventi. Prezzo: Basic è gratuito. L’estensione delle opzioni avanzate costa $ 47.
Membri magici è un plugin premium per l’iscrizione a WordPress. Controlla per quanto tempo sono validi gli abbonamenti. Crea opzioni di fatturazione illimitate. Controlla ciò che vedono i tuoi membri con il sistema di consegna dei corsi sequenziali integrato (un drip-feed). Crea ritardi prima che i tuoi membri vedano determinati contenuti o articoli. Si integra con Authorize.Net, Stripe, PayPal Standard, PayPal Website Payments Pro, PayPal Express Checkout, 1ShoppingCart, 2Checkout, CCBill, ClickBank, Worldpay e altro ancora. Prezzo: inizia da $ 97.
unMembro Professionista gestisce gli abbonamenti. Accettare pagamenti di abbonamentogestisci i profili dei clienti, fornisci contenuti digitali, integra con il tuo sistema di gestione dei contenuti, invia newsletter di adesione o esegui il tuo programma di affiliazione. Si integra con numerosi sistemi di pagamento, tra cui PayPal, CCBill, ClickBank, JVZoo, 2Checkout, Stripe, Authorize.Net e centinaia di altri. Prezzo: $ 149,36.
Membro trasforma qualsiasi tema WordPress in un sito di iscrizione avanzato e automatizzato. Vendi un numero illimitato di corsi, abbonamenti o prodotti digitali a un numero illimitato di persone. Crea livelli di abbonamento gratuiti, a pagamento o di prova e corsi online. Il generatore di siti di appartenenza ti consente di creare rapidamente un sito o corso di iscrizione di base, lanciare una campagna di benvenuto per nuovi membri e creare tutte le pagine necessarie per gestire il tuo sito. Prezzo: i piani partono da $ 57 al mese.
Membro veloce ti consente di vendere abbonamenti, abbonamenti, corsie download con WordPress. Offri prodotti a pagamento unico, portali di abbonamento ricorrenti e programmi di formazione a goccia. Visualizza gli aggiornamenti o gli acquisti dei prodotti dei membri e visualizza rapidamente la cronologia delle transazioni. Integrazione con più sistemi di elaborazione dei pagamenti e reti di affiliazione. Prezzo: i piani partono da $ 29 al mese.
A una vulnerabilità recentemente rivelata che colpisce il plugin WordPress “Migrazione di backup” è stato assegnato un punteggio di gravità di 9,8 su 10, ma le cose potrebbero non essere così gravi come sembra perché ora è disponibile una patch.
Il bug di sicurezza, tracciato come CVE-2023-6553, interessa tutte le versioni fino alla 1.3.7 (inclusa) del plugin.
Gli aggressori di successo possono ottenere l’esecuzione di codice in modalità remota consentendo loro di compromettere completamente i siti Web WordPress vulnerabili tramite l’iniezione di codice PHP.
Importante aggiornamento del plugin WordPress disponibile ora
Plugin di sicurezza WordPress Wordfence pubblicato sulla vulnerabilità e afferma di aver bloccato 39 attacchi nelle 24 ore precedenti la stesura di questo articolo.
Nel plugin registro delle modifichela versione 1.3.8 risolve il bug: “CVE segnalato con patch: aggiornare.” La versione aggiunge anche il supporto testato per WordPress 6.4.2, rilasciato il 6 dicembre.
Non è chiaro quanti utenti utilizzino versioni vulnerabili del plugin, tuttavia gli sviluppatori affermano di avere più di 90.000 download e vantano una percentuale di cinque stelle del 94%, su oltre 900 recensioni.
I ricercatori del Nex Team hanno il merito di aver scoperto per primi il bug come parte del programma bug bounty di Wordfence, che attualmente sta offrendo un incentivo fino al 20 dicembre che vedrà i reporter di successo guadagnare 6,25 volte la solita ricompensa. Nex Team ha ricevuto 2.751 dollari per aver avvisato Wordfence della vulnerabilità.
Dopo la notifica, Wordfence ha emesso una regola firewall per proteggere i clienti di Wordfence Premium ($ 119/anno), Wordfence Care ($ 490/anno) e Wordfence Response ($ 950/anno). Wordfence estenderà la regola del firewall anche ai clienti non paganti dopo un periodo di 30 giorni, il che significa che i clienti gratuiti potranno beneficiare del servizio a partire dal 5 gennaio 2024.
Tuttavia, Wordfence ha informato della vulnerabilità anche gli sviluppatori di Backup Migration, BackupBliss, che successivamente hanno rilasciato una patch nel giro di poche ore. IL post sul blog si legge: “Complimenti al team di BackupBliss per la risposta e la patch incredibilmente rapide.”
Anche se ora sono stati resi disponibili sia una patch che un firewall, gli utenti di WordPress sono comunque invitati ad applicare gli aggiornamenti a tutti i plugin il prima possibile per mantenere una protezione ottimale sui loro siti.
22 giugno 2023Ravie LakshmananSicurezza del sito web/WordPress
È stata rilevata una falla di sicurezza critica nel plug-in “Abandoned Cart Lite for WooCommerce” di WordPress installato su più di 30.000 siti web.
“Questa vulnerabilità consente a un utente malintenzionato di accedere agli account degli utenti che hanno abbandonato i propri carrelli, che in genere sono clienti ma possono estendersi ad altri utenti di alto livello quando vengono soddisfatte le giuste condizioni”, Wordfence di Defiant disse in un consulto.
Rilevato come CVE-2023-2986, il difetto è stato valutato 9,8 su 10 per la gravità nel sistema di punteggio CVSS. Ha effetto su tutte le versioni del plugin, comprese le versioni 5.14.2 e precedenti.
Il problema, in sostanza, è un caso di bypass dell’autenticazione che si verifica a causa di protezioni di crittografia insufficienti applicate quando i clienti vengono avvisati quando hanno abbandonato il carrello della spesa sui siti di e-commerce senza completare l’acquisto.
Nello specifico, la chiave di crittografia è codificata nel plug-in, consentendo così agli autori malintenzionati di accedere come utente con un carrello abbandonato.
“Tuttavia, esiste la possibilità che, sfruttando la vulnerabilità di bypass dell’autenticazione, un utente malintenzionato possa ottenere l’accesso a un account utente amministrativo o a un altro account utente di livello superiore se ha testato la funzionalità del carrello abbandonato”, ha affermato il ricercatore di sicurezza István Márton.
In seguito alla divulgazione responsabile del 30 maggio 2023, la vulnerabilità è stata risolta dallo sviluppatore del plugin, Tyche Softwares, il 6 giugno 2023, con la versione 5.15.0. La versione attuale di Abandoned Cart Lite per WooCommerce è 5.15.2.
La divulgazione arriva quando Wordfence ha rivelato un altro difetto di bypass dell’autenticazione che incide sul plug-in “Calendario delle prenotazioni | Prenotazione degli appuntamenti | BookIt” di StylemixThemes (CVE-2023-2834, punteggio CVSS: 9,8) che ha superato 10.000 installazioni di WordPress.
“Ciò è dovuto alla verifica insufficiente dell’utente fornito durante la prenotazione di un appuntamento tramite il plugin,” Márton spiegato. “Ciò consente agli aggressori non autenticati di accedere come qualsiasi utente esistente sul sito, ad esempio un amministratore, se hanno accesso all’e-mail.”
Il difetto, che interessava le versioni 2.3.7 e precedenti, è stato risolto nella versione 2.3.8, rilasciata il 13 giugno 2023.
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
29 giugno 2023Ravie LakshmananSicurezza / vulnerabilità del sito Web
Un difetto di sicurezza critico è stato divulgato in Miniorge Accesso social e plug -in Registra Per WordPress che potrebbe consentire a un attore dannoso di accedere poiché qualsiasi informazione fornita dall’utente sull’indirizzo e-mail è già noto.
Tracciato come CVE-2023-2982 (punteggio CVSS: 9,8), il difetto di bypass di autenticazione influisce su tutte le versioni del plug-in, incluso e prima di 7.6.4. Il problema è stato risolto il 14 giugno 2023, con il rilascio della versione 7.6.5 in seguito alla divulgazione responsabile il 2 giugno 2023.
“La vulnerabilità consente a un utente malintenzionato non autenticato di ottenere l’accesso a qualsiasi account su un sito, inclusi gli account utilizzati per amministrare il sito, se l’utente malintenzionato conosce o riesce a trovare l’indirizzo e-mail associato”, ha spiegato il ricercatore di Wordfence István Márton. disse.
Il problema è radicato nel fatto che la chiave di crittografia utilizzata per proteggere le informazioni durante l’accesso utilizzando gli account dei social media è codificata, portando così a uno scenario in cui gli aggressori potrebbero creare una richiesta valida con un indirizzo e-mail adeguatamente crittografato utilizzato per identificare l’utente. .
Se l’account appartenesse all’amministratore del sito WordPress, ciò potrebbe comportare una compromissione completa. Il plugin viene utilizzato su oltre 30.000 siti.
L’avviso segue l’ scoperta di un difetto di elevata gravità che colpisce Plug-in LMS LearnDashun plug-in WordPress con oltre 100.000 installazioni attive, che potrebbe consentire a qualsiasi utente con un account esistente di reimpostare password utente arbitrarie, comprese quelle con accesso come amministratore.
Il bug (CVE-2023-3105, punteggio CVSS: 8,8) è stato corretto nella versione 4.6.0.1 rilasciata il 6 giugno 2023.
Arriva anche settimane dopo Patchstack dettagliato una falsificazione di richieste intersito (CSRF) vulnerabilità nel Plug-in UpdraftPlus (CVE-2023-32960, punteggio CVSS: 7.1) che potrebbe consentire a un utente malintenzionato non autenticato di rubare dati sensibili ed elevare i privilegi inducendo un utente con autorizzazioni amministrative a visitare l’URL di un sito WordPress creato appositamente.
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
Oltre 90.000 siti Web sono attualmente a rischio a causa di una vulnerabilità rilevata nel plug-in di migrazione del backup di WordPress. Questa vulnerabilità ha consentito l’esecuzione di codice remoto non autenticato, consentendo a potenziali aggressori di accedere a questi siti Web.
Un gruppo di ricercatori del Nex Team ha scoperto la vulnerabilità mentre partecipava al programma Wordfence Bug Bounty.
Vale la pena notare che alla vulnerabilità CVE-2023-6553, che consente l’esecuzione di codice in modalità remota, è stato assegnato un punteggio di gravità critica pari a 9,8.
Questa vulnerabilità consente l’inserimento e l’esecuzione di codice PHP arbitrario da parte di autori di minacce non autenticati su siti WordPress che utilizzano questo plugin.
Difetto del plugin WordPress
Il plugin Backup Migration per WordPress presenta una vulnerabilità in tutte le versioni fino alla 1.3.7 inclusa, che consente agli aggressori di eseguire codice remoto.
La vulnerabilità è presente nel file /includes/backup-heart.php e consente agli aggressori di ottenere accesso non autorizzato a dati sensibili ed eseguire codice dannoso sul sito web.
Supponiamo che un utente malintenzionato ottenga il controllo di un computer di destinazione attraverso alcune vulnerabilità e acquisisca il potere di eseguire comandi su quel computer remoto. In tal caso, questo processo è chiamato Remote Code Execution (RCE).
Ciò indica che BMI_ROOT_DIR è modificabile dall’utente. Gli autori delle minacce possono sfruttare questa vulnerabilità per inserire codice PHP dannoso nelle richieste ed eseguire comandi arbitrari sul server sottostante nel contesto di sicurezza dell’istanza WordPress.
Dopo l’incidente è stata rilasciata una nuova versione, la 1.3.8, che includeva una patch per risolvere il problema.
Si consiglia di aggiornare il plugin alla versione più recente il prima possibile per prevenire lo sfruttamento di questa vulnerabilità.
