Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da  WebArx di alcuni dei Plugin vulnerabili noti nel mese di Aprile.

WP-Advanced-Search

• Vulnerabilità: Authenticated SQL Injection.
• Numero di siti interessati: 1.000+

Ninja Forms

• Vulnerabilità: CSRF to XSS. Sfruttando la vulnerabilità CSRF, un utente malintenzionato potrebbe iniettare JavaScript dannoso arbitrario tramite la funzione di importazione dei contatti.
• Numero di siti interessati: Più di un milione

Catch Breadcrumb

• Vulnerabilità: XSS riflesso non autenticato
• Numero di siti interessati: 1.000+

Quick Page / Post Redirect

• Vulnerabilità: Modifica e aggiornamento delle impostazioni autenticate
• Numero di siti interessati: 20.0000+

Gmedia Photo Gallery

• Vulnerabilità: XSS memorizzato e riflesso, causate da una convalida impropria dell'input dell'utente nell'album, nella galleria, nella categoria e nel modulo di caricamento multimediale.
• Numero di siti interessati: 10.000+

BigBlueButton

• Vulnerabilità: Cross-site scripting (XSS) riflesso
• Numero di siti interessati: 7.000+

LearnPress

• Vulnerabilità: Come segnalato dal team di Wordfence, sono state riscontrate diverse vulnerabilità di escalation di privilegi ad alta gravità in questo plugin, che hanno permesso agli utenti con livello “abbonato” di elevare le loro autorizzazioni a quelle di "LP Instructor", un ruolo personalizzato con funzionalità simile al ruolo di "Author" di WordPress, che include la possibilità di caricare file e creare post contenenti HTML non filtrato, i quali potrebbero essere utilizzati come parte di una catena di exploit che consente l'acquisizione del sito.
• Numero di siti interessati: 80.000+

Simple File List

• Vulnerabilità: Upload di file non autenticati RCE
• Numero di siti interessati: 4.000+

Infolific

• Vulnerabilità: Falsificazione di richieste cross-site per lo scripting cross-site archiviato. Questo difetto potrebbe consentire a qualsiasi utente di iniettare Javascript dannoso in qualsiasi parte del sito inducendo l’admin di un sito a eseguire un'azione, come fare clic su un link in un commento o e-mail.
• Numero di siti interessati: 100.000+

Advanced Woo Search

• Vulnerabilità: Perdita di query SQL nella ricerca ajax. 
• Numero di siti interessati: 40.000+

Duplicate Page and Post

• Vulnerabilità: SQL Injections dovute a frammenti duplicati
• Numero di siti interessati: 50.000+

YOP Poll

• Vulnerabilità: Authenticated Stored XSS.
• Numero di siti interessati: 20.000+

MapPress 

• Vulnerabilità: Creazione / eliminazione di mappe autenticate che portano a XSS memorizzato. È possibile per un utente malintenzionato connesso con autorizzazioni minime, come un abbonato, aggiungere una mappa contenente JavaScript dannoso a un post o una pagina arbitrari.
• Numero di siti interessati: 80.000+

GDPR WP

• Vulnerabilità: XSS memorizzato non autenticato, Spoofing del contenuto non autenticato, Eliminazione di commenti arbitrari non autenticati, Aggiornamento delle impostazioni del plugin non autenticato
• Numero di siti interessati: 6.000+

Catch Breadcrumb

• Vulnerabilità: XSS riflesso non autenticato
• Numero di siti interessati: 1.000+

Media Library Assistant 

• Vulnerabilità: RCE autenticato, inclusione di file locale limitata non autenticata,   inclusione di file locali,  XSS memorizzato autenticato
• Numero di siti interessati: 60.000+

GTranslate

• Vulnerabilità: Cross-site scripting (XSS) riflesso
• Numero di siti interessati: 20.0000+

Widget Settings Importer/Exporter 

• Vulnerabilità: XSS memorizzato autenticato. Questa vulnerabilità ha consentito a un utente malintenzionato autenticato con autorizzazioni minime, come livello abbonato, di importare e attivare widget personalizzati contenenti JavaScript arbitrario in un sito con il plugin installato.
• Numero di siti interessati: 40.000+

Accordion 

• Vulnerabilità: Azione AJAX non protetta su XSS memorizzato/riflesso. Questo difetto ha consentito a qualsiasi utente autenticato con autorizzazioni di livello abbonato e superiori la possibilità di importare un nuovo Accordion e iniettare Javascript dannoso.
• Numero di siti interessati: 30.000+

Responsive Poll

• Vulnerabilità: Cross-site scripting (XSS) autenticato. Gli utenti non autenticati possono manipolare i sondaggi, ad esempio eliminare, clonare o visualizzare un sondaggio nascosto. 
• Numero di siti interessati: 900+

Tickera WordPress Event Ticketing

• Vulnerabilità: Esposizione di dati sensibili non autenticati, che per la mancanza di controlli di autorizzazione negli hook "admin_init", potrebbe causare l’esportazione di tutti i dati personali degli utenti registrati ad un evento in un file PDF scaricabile da ogni utente non autenticato.
• Numero di siti interessati: 8.000+

Ticket System

• Vulnerabilità: XSS riflesso non autenticato
• Numero di siti interessati: 5.000+

Gutenberg blocks

• Vulnerabilità: Modifica delle impostazioni autenticate
• Numero di siti interessati: 200.000+

WP Lead Plus X

• Vulnerabilità: XSS memorizzato autenticato
• Numero di siti interessati: 70.000+

WP Last Modified Info

• Vulnerabilità: XSS memorizzato non autenticato. Quando si salva una nuova campagna, un utente livello admin può archiviare gli script nelle opzioni del plugin. Il codice può quindi essere eseguito su ogni pagina o post sul sito Web.
• Numero di siti interessati: 10.000+

Contact Form 7 Datepicker

• Vulnerabilità: Cross-site scripting (XSS) memorizzato autenticato.
• Numero di siti interessati: N / D

OneTone Theme

• Vulnerabilità: Cross-site scripting (XSS) non autenticato, che a causa della mancanza di controlli di capacità e nonce di sicurezza, porta un utente malintenzionato non autenticato alla possibilità di utilizzare la funzione di importazione delle opzioni del tema per iniettare il codice JavaScript in tutte le pagine e i post del sito Web.
• Numero di siti interessati: N/D

LearnDash

• Vulnerabilità: SQL injection non autenticata.
• Numero di siti interessati: 100.000+

LifterLMS

• Vulnerabilità: Controlli CSRF mancanti per il campo del dominio, XSS memorizzato nella pagina Impostazioni, XSS memorizzato in più pagine, CSV injection, Riferimento diretto non sicuro dell'oggetto
• Numero di siti interessati: 4.000+

Siti web e sicurezza: come difendersi da attacchi e minacce alla privacy

Ogni mese vengono scoperte nuove vulnerabilità che mettono a rischio la sicurezza di numerosi siti web realizzati con WordPress, portando molte volte alla manipolazione e violazione dei dati personali degli utenti che navigano online o dati sensibili contenuti ad esempio nei cookie di sessione.

Per difendersi o risolvere attacchi XSS, che minacciano la privacy degli utenti e rendono vulnerabile il sito stesso, è spesso importante rivolgersi ad agenzie web in grado di valutare soluzioni professionali più sicure e adatte alle proprie esigenze, che sappiano fornire una consulenza professionale su tutti gli aspetti legati alla sicurezza informatica.

Serve aiuto? Contatta la nostra agenzia web per una consulenza.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.