Aggiornamenti sulla sicurezza di WordPress da Wordfence.com
Il 14 settembre 2020, il team di Threat Intelligence di “Wordfence“, noto plugin e sito web sulla sicurezza di WordPress, ha scoperto due vulnerabilità ad alta gravità su “Post Grid”, un plug-in di WordPress con oltre 60.000 installazioni. Durante l’analisi di una di queste vulnerabilità, il team ha scoperto che erano presenti vulnerabilità quasi identiche anche in “Team Showcase”, un plug-in separato, ma dello stesso autore, con oltre 6.000 installazioni.
Inizialmente hanno contattato lo sviluppatore del plug-in, “PickPlugins” il 16 settembre 2020, e il team ha fornito la piena divulgazione il giorno successivo. Le patch per entrambi i plugin sono state rese disponibili solo poche ore dopo che avevano divulgato la minaccia, il 17 settembre 2020.
Descrizione: Stored Cross-Site scripting (XSS)
Prodotti interessati: Post Grid, Team Showcase
Plugin slug: post-grid, team
Versioni interessate: Post Grid <2.0.73 e Team Showcase <1.22.16
ID CVE: in attesa
Punteggio CVSS: 7,5 (Alto)
Vettore CVSS: CVSS: 3.0 / AV: N / AC: H / PR: L / UI: N / S: U / C: H / I: H / A: H
Versione completamente patchata: Post Grid 2.0.73 e Team Showcase 1.22.16
Post Grid è un popolare plugin per WordPress che consente agli utenti di visualizzare i propri post in un layout a griglia, mentre Team Showcase è progettato per mostrare i membri del team di un’organizzazione. Entrambi questi plugin consentono l’importazione di layout personalizzati e contengono funzioni quasi identiche per importare questi layout. Post Grid non utilizza più la funzione di importazione vulnerabile, sebbene il codice vulnerabile sia ancora presente.
In entrambi i casi, un utente malintenzionato connesso con autorizzazioni minime come utente “guest” poteva attivare le funzioni inviando una richiesta AJAX, con l’azione impostata su post_grid_import_xml_layouts per il plug-in Post Grid o team_import_xml_layouts per il plug-in Team Showcase, con ogni azione che attiva una funzione con lo stesso nome.
Inoltre, nel plugin Post Grid, la funzione post_grid_import_xml_layouts potreva anche essere attivata tramite uno shortcode. Per impostazione predefinita, ciò significava che solo gli utenti autenticati sarebbero stati in grado di attivarlo. Qualsiasi plug-in di terze parti che consenta l’esecuzione di shortcode non autenticato, tuttavia, estenderebbe la vulnerabilità agli aggressori non autenticati.
Le funzioni post_grid_import_xml_layouts e team_import_xml_layouts potrevanoo essere utilizzate anche per PHP Object Injection utilizzando lo stesso meccanismo dell’attacco XSS. Ciò è stato possibile perché le funzioni vulnerabili non hanno serializzato il payload fornito nel parametro source.
Pertanto, un utente malintenzionato poteva creare una stringa che non veniva serializzata in un oggetto PHP attivo. Sebbene nessuno dei due plug-in utilizzasse metodi vulnerabili, se era installato un altro plug-in che utilizzava un metodo vulnerabile, l’iniezione di oggetti poteva essere utilizzata da un utente malintenzionato. Ciò consentiva a un malintenzionato di eseguire codice arbitrario, eliminare o scrivere file o eseguire un numero qualsiasi di altre azioni che potevano portare al controllo del sito.
Come per la vulnerabilità XSS, la vulnerabilità PHP Object injection richiede in genere che l’attaccante disponga di un account con privilegi almeno a livello di guest. Tuttavia, i siti che utilizzano un plug-in o un tema che consente a visitatori non autenticati di eseguire codici brevi arbitrari sarebbero vulnerabili agli aggressori non autenticati.
Conclusione
Nel post di oggi, abbiamo descritto due vulnerabilità ad alta gravità presenti sia nel plug-in Post Grid che nel plug-in Team Showcase, tra cui una vulnerabilità Cross-Site Scripting (XSS) archiviata e una vulnerabilità PHP Object Injection.
Se il tuo sito esegue uno di questi plug-in, è fondamentale aggiornarlo all’ultima versione il prima possibile. Al momento della stesura di questo articolo, l’ultima versione di Post Grid è 2.0.73 e l’ultima versione di Team Showcase è 1.22.16. Se conosci qualcuno che utilizza uno di questi plugin, condividi questo articolo.
Link all’articolo originale di Wordfence: www.wordfence.com/blog/2020/10/high-severity-vulnerabilities-in-post-grid-and-team-showcase-plugins