Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da WebArx di alcuni dei Plugin vulnerabili noti nel mese di Marzo, che interessano circa 12 milioni di siti web WordPress.

LifterLMS

• Vulnerabilità: Arbitrary file writing
• Numero di siti interessati: 10.000+

Rank Math

• Vulnerabilità: Sono state riscontrate due vulnerabilità, una riguarda l’escalation di privilegi tramite un endpoint API REST non protetto, per la quale un utente malintenzionato non autenticato avrebbe potuto concedere o revocare i privilegi di admin per qualsiasi utente registrato; l’altra riguarda il redirect della creazione tramite un endpoint API REST non protetto, che comporta il reindirizzamento, da parte di un utente malintenzionato, dalla maggior parte delle posizioni sul sito, incluse nuove posizioni o qualsiasi post o pagina esistente diverso dalla homepage, fortunatamente senza la possibilità di reindirizzare i visitatori immediatamente dopo l'accesso al sito.
• Numero di siti interessati: 200.000+

Elementor Page Builder

• Vulnerabilità: Escalation di privilegi in modalità provvisoria autenticata, che potrebbe consentire a un utente non autenticato di disabilitare i plugin, inclusi quelli di sicurezza.
• Numero di siti interessati: 4 milioni +

CM Pop-Up Banners

• Vulnerabilità: Cross-site scripting (XSS) autenticato. 
• Numero di siti interessati: 10.000+

IMPress for IDX Broker

• Vulnerabilità: Cross-site scripting (XSS) memorizzato e autenticato tramite AJAX non protetto "idx_update_recaptcha_key". Come con la maggior parte degli attacchi che sfruttano l'XSS memorizzato nelle aree di amministrazione, questo potrebbe essere utilizzato al fine di creare un nuovo utente livello admin dannoso.
• Numero di siti interessati: 10.000+

All-in-One WP Migration

• Vulnerabilità: Download di backup arbitrario
• Numero di siti interessati: 2+ milioni

Product Lister for Walmart

• Vulnerabilità: RCE non autenticato tramite PHPUnit obsoleto
• Numero di siti interessati: N / D

Supsystic 

• Vulnerabilità: Cross-site scripting  (XSS) memorizzato autenticato e autorizzazioni non sicure per le azioni AJAX, che possono portare al redirect del sito dannoso, alla creazione di un nuovo account utente admin e ad altre azioni dannose.
• Numero di siti interessati: 30.000+

Cookiebot 

• Vulnerabilità: Cross-site scripting (XSS) riflesso e autenticato. Questo attacco consente agli hacker di sfruttare la vulnerabilità presente nelle pagine amministrative. A causa di un’implementazione impropria dei valori contenuti nelle schede viene generato un attacco di scripting cross-site riflesso che si basa sul comportamento umano. Se l'amministratore del sito Web visita l'URL appositamente predisposto di un utente malintenzionato, potrebbe essere in grado di scendere a compromessi e assumere il controllo del sito Web.
• Numero di siti interessati: 40.000+

WPvivid Backup

• Vulnerabilità: Autorizzazione mancante che porta a una perdita del database e di tutti i file del sito WordPress.
• Numero di siti interessati: 30.000+

Custom Post Type UI 

• Vulnerabilità: CSRF su XSS memorizzato che potrebbe consentire a un utente malintenzionato di eseguire JavaScript arbitrario nel browser di un utente e indurlo a visitare una pagina da lui controllata, potendo poi compromettere l’intero sito.
• Numero di siti interessati: 800.000+

Gutenberg & Elementor Templates Importer For Responsive

• Vulnerabilità: Endpoint AJAX non protetti. Questi problemi hanno consentito a qualsiasi utente autenticato, indipendentemente dal livello di privilegio, la possibilità di eseguire varie azioni AJAX: ripristinare i dati del sito, iniettare JavaScript dannoso nelle pagine, modificare i dati di personalizzazione del tema, importare file .xml e .json, attivare plugin e altre azioni.
• Numero di siti interessati: 40.000+

Advanced Ads

• Vulnerabilità: XSS riflesso autenticato tramite la dashboard dell’utente admin
• Numero di siti interessati: 100.000+

Newsletter

• Vulnerabilità: CSV injection, che consente ad un utente con privilegi inferiori o senza privilegi, di inserire codice CSV dannoso nell’azione di comando di in un form per la sottoscrizione ad un abbonamento.
• Numero di siti interessati: 300.000+

LearnPress

• Vulnerabilità: Escalation di privilegi, che assicura a qualsiasi utente autenticato di poter cambiare il proprio ruolo in un istruttore/insegnante e ottenere l'accesso a dati altrimenti limitati.
• Numero di siti interessati: 70.000+

WordPress File Upload

• Vulnerabilità: Directory traversal to RCE
• Numero di siti interessati: 20.000+

Popup Builder

• Vulnerabilità: Il plugin Popup Builder consente la creazione di vari popup su un sito WordPress, che include la possibilità di eseguire JavaScript personalizzati quando viene caricato un popup. In genere, gli aggressori utilizzano una vulnerabilità come questa per reindirizzare i visitatori del sito verso siti malvertising o rubare informazioni sensibili dai loro browser. Inoltre, la modifica delle impostazioni autenticate, la divulgazione della configurazione e l’esportazione dei dati utente permettono ad un utente malintenzionato di concedere a tutti gli utenti abbonati (inclusi loro stessi) una serie di autorizzazioni relative alla funzionalità del plugin. 
• Numero di siti interessati: 100.000+

Font Awesome

• Vulnerabilità: Riguarda i token API e la divulgazione del token di accesso, che se compromessi, potrebbero consentire ad un utente non autorizzato di accedere all'elenco di kit e impostazioni del kit dell'utente.
• Numero di siti interessati: 100.000+

MStore API

• Vulnerabilità: Creazione / modifica di un account arbitrario non autenticato
• Numero di siti interessati: 1.000+

Order Export & Order Import for WooCommerce WebToffee

• Vulnerabilità: Cross-site request forgery (CSRF)
• Numero di siti interessati: 10.000+

Product Import Export for WooCommerce WebToffee

• Vulnerabilità: Cross-site request forgery (CSRF), che comporta l’inserimento di codice malevolo in prodotti, commenti, ordini, contenenti potenzialmente payload dannosi.
• Numero di siti interessati: 50.000+

Order XML File Export Import for WooCommerce WebToffee

• Vulnerabilità: Cross-site request forgery (CSRF)
• Numero di siti interessati: 300+

Product Reviews Import Export for WooCommerce WebToffee

• Vulnerabilità: Cross-site request forgery (CSRF)
• Numero di siti interessati: 2000+

XML File Export Import for Stamps.com and WooCommerce

• Vulnerabilità: Cross-site request forgery (CSRF)
• Numero di siti interessati: 100+

WordPress Comments Import & Export

• Vulnerabilità: Cross-site request forgery (CSRF)
• Numero di siti interessati: 2.000+

WPML Multilingual CMS

• Vulnerabilità: Cross-site request forgery (CSRF) autenticata che porta all'esecuzione di codice in modalità remota
• Numero di siti interessati: N / D

Search Meter

• Vulnerabilità: CSV injection
• Numero di siti interessati: 30.000+

WP Security Audit Log 

• Vulnerabilità: Controllo dell'accesso interrotto nella prima installazione guidata, che se non funzionante, potrebbe portare a escalation di privilegi, esposizione di dati sensibili e deserializzazione non sicura. 
• Numero di siti interessati: 100.000+

RegistrationMagic

• Vulnerabilità: Escalation di privilegi autenticata, che ha consentito a un utente malintenzionato con autorizzazioni a livello di abbonato di elevare i privilegi del proprio account a quelli di un amministratore e di esportare tutti i moduli sul sito, inclusi tutti i dati che erano stati inviati in passato. Inoltre, attraverso una serie di azioni AJAX non protette, un utente malintenzionato con autorizzazioni a livello di abbonato potrebbe inviare e-mail arbitrarie, importare un modulo vulnerabile personalizzato, sostituire un modulo esistente con il modulo caricato e utilizzare il modulo vulnerabile per registrare un nuovo utente amministrativo. Infine, nessuna delle funzioni amministrative utilizzate dal plugin includeva controlli nonce, rendendolo vulnerabile agli attacchi di contraffazione di richieste tra siti (CSRF), che consentiva ad un utente malintenzionato di creare richieste per conto di un amministratore per aggiornare uno qualsiasi dei plugin impostazioni.
• Numero di siti interessati: 10.000+

Brizy 

• Vulnerabilità: Aggiornamento delle impostazioni del sito non autenticato, che a causa della mancanza di limitazioni di accesso alla pagina delle impostazioni del sito, consente a utenti non autenticati di modificare title e description e di inserire il payload XSS nel piè di pagina, causando problemi XSS memorizzati non autenticati.
• Numero di siti interessati: 60.000+

Smart Coupons

• Vulnerabilità: Creazione di coupon non autenticato. Gli aggressori non autenticati potrebbero inviare coupon di qualsiasi valore, che potrebbero essere riscattati per i prodotti venduti sul negozio.
• Numero di siti interessati: 15.000+

Appointment Booking Calendar

• Vulnerabilità: Cross-site scripting (XSS) autenticato
• Numero di siti interessati: 5.000+

WPForms

• Vulnerabilità: Cross-site scripting (XSS) autenticato
• Numero di siti interessati: 3 milioni +

WP Advanced Search

• Vulnerabilità: Accesso al database non autenticato ed esecuzione di codice in modalità remota (RCE)
• Numero di siti interessati: 1.000+

Custom Searchable Data Entry System

• Vulnerabilità: Modifica ed eliminazione di dati non autenticati (0 giorni, sfruttati)
• Numero di siti interessati: 2.000+

Import Export WordPress Users

• Vulnerabilità: Arbitrary User Creation è un problema di sicurezza di elevata gravità che potrebbe consentire agli hacker di assumere completamente il controllo dei siti WordPress, revocando l'accesso del proprietario del sito originale, al fine di inserire codice JavaScript dannoso che potrebbe reindirizzare i visitatori del sito a un sito malevolo, iniettare malware e backdoor per mantenere l'accesso al sito o persino aumentare il controllo ad altri siti nell'account di hosting e molto altro.
• Numero di siti interessati: 30.000+

Testimonial 

• Vulnerabilità: Cross-site  scripting (XSS) archiviato autenticato, che consentirebbe a un utente con privilegi limitati di di inserire codice JavaScript arbitrario nell'immagine della galleria del plugin visualizzata da altri utenti.
• Numero di siti interessati: 10.000+

Booked 

• Vulnerabilità: Autenticazione interrotta per esportare i dati degli utenti in CSV, che consentirebbe a chiunque di scaricare tutti i record degli utenti e i dettagli dei loro appuntamenti in CSV.
• Numero di siti interessati: 10.000+

Modern Events Calendar Lite

• Vulnerabilità: Modern Events Calendar Lite registra una serie di azioni AJAX per gli utenti che hanno effettuato l'accesso. Alcune di queste azioni consentono agli utenti con privilegi limitati come gli abbonati di manipolare le impostazioni e altri dati memorizzati. Se sfruttati in questo modo, i dati interessati possono essere iniettati con vari payload XSS.
• Numero di siti interessati: 40.000+

ThemeREX Addons

• Vulnerabilità: Remote Code Execution (RCE), vulnerabilità segnalata dal team di  Wordfence, plugin di sicurezza che aiuta a proteggere i siti web WordPress da tentativi di hacking. 
• Numero di siti interessati: 44.000

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme più performanti e costantemente aggiornate, attente a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.