Sono state trovate due gravi vulnerabilità di sicurezza in uno dei plugin più utilizzati su Wordpress, piattaforma che permette in maniera semplice di creare siti web sia privati che professionali. Il plugin in questione è installato in più di 200 mila istanze di Wordpress in tutto il mondo e le vulnerabilità permetterebbero ai potenziali aggressori di prendere il controllo completo sul sito oppure cancellarne completamente il contenuto.
Il plugin in questione è PageLayer, strumento utilizzato dagli utenti meno esperti che permette la creazione in tempo reale di pagine web tramite strumenti visivi come il drag-and-drop e senza mettere direttamente mano al codice.
Le vulnerabilità sono state segnalate al team di PageLayer dal team Wordfence Threat Intelligence il 30 aprile scorso e sono state corrette con l'aggiornamento 1.1.2 del plugin il 6 maggio. "Una falla ha permesso a qualsiasi utente autenticato con permessi di livello subscriber e superiori la possibilità di aggiornare e modificare i post con contenuti dannosi, tra le altre cose", ha spiegato Wordfence. "Un'ulteriore falla ha permesso agli aggressori di falsificare una richiesta per conto dell'amministratore di un sito per modificare le impostazioni del plugin, ciò avrebbe potuto consentire l'iniezione di Javascript dannosi".
Alla base di queste due vulnerabilità ci sarebbe del codice AJAX non sicuro e la mancanza di protezione Cross-Site Request Forgery (CSRF) che rende possibile ai malintenzionati l'iniezione di codice Javascrip dannoso, alterare le pagine dei siti attaccati, creare account amministratore, reindirizzare i visitatori verso siti dannosi e sfruttare il browser dell'utente per compromettere il suo computer. Maggiori dettagli sono consultabili nella pagina della relazione redatta da Wordfence.
Per proteggersi da questo tipo di attacco informatico è assolutamente raccomandato l'aggiornamento di PageLayer alla versione 1.2.2 già disponibile sul repository di WordPress. Ad oggi, consultando il numero di download che comprende nuove installazioni e aggiornamenti, solo circa 80 mila siti web che utilizzano questo plugin dispongono della versione sicura. Ciò significa che su un totale di 200 installazioni oltre 120 mila sono ancora vulnerabili agli attacchi descritti qui sopra.
Voi conoscevate già o state utilizzato il plugin in questione? Avete già aggiornato alla versione contenente le patch di sicurezza?
Sapevate che è possibile sviluppare i propri siti web in locale su un Raspberry Pi prima di metterli online? La versione con 4GB di RAM del Raspberry Pi 4 è disponibile a 60 euro in sconto su Amazon.