Problema di sicurezza nel plugin Gravity Forms di WordPress

Il rinomato plugin "Gravity Forms" di WordPress, attualmente utilizzato da oltre 930.000 siti web, è vulnerabile a un'iniezione non autenticata di oggetti PHP. "Gravity Forms" è uno strumento personalizzabile per la creazione di moduli utilizzato dai proprietari di siti web per realizzare pagamenti, registrazioni, caricamenti di file o qualsiasi altro modulo necessario per le interazioni o le transazioni visitatore-sito. Numerose grandi aziende, tra cui Airbnb, ESPN, Nike, NASA, PennState e Unicef, utilizzano questo strumento, come dichiarato sul sito di 'Gravity Forms'. La vulnerabilità, conosciuta come CVE-2023-28782, colpisce tutte le versioni del plugin dal 2.73 in giù.

Scoperta e correzione della vulnerabilità

PatchStack ha scoperto la vulnerabilità il 27 marzo 2023 e il fornitore l'ha risolta rilasciando la versione 2.7.4, disponibile dal 11 aprile 2023. Si consiglia agli amministratori dei siti web che utilizzano 'Gravity Forms' di applicare l'aggiornamento di sicurezza appena possibile.

Dettagli e conseguenze del problema

Il problema deriva dalla mancanza di controlli sull'input fornito dall'utente per la funzione "maybe_unserialize" e può essere attivato inviando dati a un modulo creato con "Gravity Forms". "Dato che PHP consente la serializzazione degli oggetti, un utente non autenticato potrebbe inviare stringhe serializzate ad hoc a una chiamata unserialize vulnerabile, risultando in un'iniezione arbitraria di oggetti PHP nello scope dell'applicazione", avverte PatchStack nel report. Nonostante la potenziale gravità di CVE-2023-28782, gli analisti di PatchStack non hanno riscontrato una catena significativa di POP (property-oriented programming) nel plugin vulnerabile, mitigando in parte il rischio.

Soluzione e precauzioni future

Tuttavia, il rischio rimane severo se lo stesso sito utilizza altri plugin o temi che contengono una catena POP, cosa non rara considerando la vasta gamma di plugin e temi di WordPress disponibili e i vari livelli di qualità del codice e consapevolezza della sicurezza tra gli sviluppatori. In tali casi, l'exploit di CVE-2023-28782 potrebbe portare ad un accesso e modifica arbitraria dei file, alla fuoriuscita di dati degli utenti/membri, all'esecuzione di codice e altro ancora. Il fornitore del plugin ha risolto il problema rimuovendo l'uso della funzione "maybe_unserialize" dal plugin "Gravity Forms" nella versione 2.74. È importante applicare tutti gli aggiornamenti su tutti i plugin e temi attivi sul tuo sito WordPress, poiché le correzioni di sicurezza possono eliminare vettori di attacco, come le catene POP, che potrebbero essere sfruttate in questo caso per lanciare attacchi dannosi.