Falla critica espone account in plugin di WordPress
L'accesso non autorizzato agli account WordPress è possibile attraverso una vulnerabilità nel plugin di miniOrange per l'accesso e la registrazione sui social media
È stata rivelata una falla di sicurezza critica nel plugin di accesso e registrazione social di miniOrange per WordPress, che potrebbe permettere a un malintenzionato di accedere come qualsiasi utente, purché siano noti i dettagli dell'indirizzo email. Conosciuta come CVE-2023-2982 e con un punteggio CVSS di 9.8, la falla di bypass dell'autenticazione colpisce tutte le versioni del plugin, fino alla 7.6.4 inclusa. La correzione è stata rilasciata il 14 giugno 2023, con la versione 7.6.5, a seguito di una segnalazione responsabile il 2 giugno 2023.
Dettagli della vulnerabilità
Secondo István Márton, ricercatore di Wordfence, la vulnerabilità permette a un aggressore non autenticato di accedere a qualsiasi account su un sito, inclusi quelli utilizzati per amministrarlo, se l'attaccante conosce o può trovare l'indirizzo email associato. Il problema risiede nel fatto che la chiave di crittografia utilizzata per proteggere le informazioni durante l'accesso tramite account di social media è codificata in maniera rigida. Questo crea uno scenario in cui gli aggressori potrebbero creare una richiesta valida con un indirizzo email correttamente criptato usato per identificare l'utente.
Conseguenze potenziali della vulnerabilità
Se l'account appartiene all'amministratore del sito WordPress, ciò potrebbe portare a un compromesso completo. Il plugin è utilizzato su oltre 30.000 siti, rendendo l'impatto potenziale di questa falla di sicurezza significativo.
Altre problematiche di sicurezza rilevate
Questo avviso segue la scoperta di un difetto di alta gravità che colpisce il plugin LearnDash LMS di WordPress, un plugin con oltre 100.000 installazioni attive, che potrebbe consentire a qualsiasi utente con un account esistente di reimpostare le password degli utenti a piacere, inclusi quelli con accesso di amministratore. Il bug (CVE-2023-3105, punteggio CVSS: 8.8) è stato corretto nella versione 4.6.0.1 rilasciata il 6 giugno 2023. Inoltre, poche settimane fa, Patchstack ha dettagliato una vulnerabilità di cross-site request forgery (CSRF) nel plugin UpdraftPlus (CVE-2023-32960, punteggio CVSS: 7.1) che potrebbe permettere a un aggressore non autenticato di rubare dati sensibili e aumentare i propri privilegi, ingannando un utente con permessi di amministratore a visitare un URL di WordPress appositamente creato.
Seguici su Instagram per altre pillole come questa29/06/2023 10:26
Marco Verro