Il team di sviluppo di WordPress ha rilasciato la scorsa settimana la versione 5.8.3, una versione di sicurezza che corregge quattro vulnerabilità legate all’injection.
I quattro difetti sono: SQL injection su WP_Meta_Query (scoperto da Ben Bidner del team di sicurezza di WordPress), SQL injection su WP_Query (scoperto da ngocnb e khuyenn di GiaoHangTietKiem JSC), un difetto di cross-site scripting (XSS) ed infine un problema di object injection che interessa alcune installazioni multisito (segnalato da Simon Scannell di SonarSource).
Tutti i problemi hanno prerequisiti per il loro sfruttamento e la maggior parte dei siti WordPress che utilizzano l’impostazione predefinita degli aggiornamenti di base automatici non sono in pericolo.
Tuttavia, i siti che utilizzano WordPress 5.8.2 o versioni precedenti, con filesystem di sola lettura che hanno disabilitato gli aggiornamenti automatici del core in wp-config.php, potrebbero essere vulnerabili agli attacchi basati sui difetti identificati.
I quattro difetti, risolti con l’ultimo aggiornamento di sicurezza, sono i seguenti:
- CVE-2022-21661 : SQL injection ad alta gravità (punteggio CVSS 8.0) tramite WP_Query. Questo difetto è sfruttabile tramite plugin e temi che utilizzano WP-Query. Le correzioni coprono le versioni di WordPress fino alla 3.7.37.
- CVE-2022-21662 : Vulnerabilità XSS di alta gravità (punteggio CVSS 8.0) che consente agli autori (utenti con privilegi inferiori) di aggiungere una backdoor dannosa o di rilevare un sito abusando di post slug. Le correzioni coprono le versioni di WordPress fino alla 3.7.37.
- CVE-2022-21664 : SQL injection ad alta gravità (punteggio CVSS 7.4) tramite la classe principale WP_Meta_Query. Le correzioni coprono le versioni di WordPress fino alla 4.1.34.
- CVE-2022-21663 : Problema di inserimento di oggetti di gravità media (punteggio CVSS 6.6) che può essere sfruttato solo se un malintenzionato ha compromesso l’account amministratore. Le correzioni coprono le versioni di WordPress fino alla 3.7.37.
Non sono stati segnalati casi di sfruttamento attivo in natura di quanto sopra e si ritiene che nessuno di questi difetti abbia un grave impatto potenziale sulla maggior parte dei siti WordPress.
I siti web WordPress sono altamente presi di mira da attori malintenzionati, sebbene nella maggior parte dei casi prendano di mira temi e plug-in ampiamente utilizzati che contengono vulnerabilità.
Il team di intelligence sulle minacce della società di sicurezza di WordPress Defiant ha avvertito a Dicembre di aver individuato una massiccia campagna in cui 1,6 milioni di siti WordPress erano stati oggetto di 13,7 milioni di tentativi di attacco provenienti da 16.000 indirizzi IP, il tutto in un arco di tempo di 36 ore. L’obiettivo degli aggressori era assumere il controllo dei siti web vulnerabili.
Mentre in alcuni casi gli aggressori prendono di mira i difetti zero-day, in questo caso hanno tentato di sfruttare le falle di sicurezza note che interessano quattro plug-in, comprese le debolezze corrette mesi fa e quelle che erano state risolte solo pochi giorni prima dell’inizio degli attacchi.
Un altro importante incidente correlato a WordPress, che è venuto alla luce di recente, ha coinvolto il gigante dell’hosting web GoDaddy, che a novembre ha rivelato una violazione dei dati che ha colpito 1,2 milioni di utenti di WordPress.