Oltre 150.000 siti WordPress a rischio di acquisizione tramite plugin vulnerabili

Due vulnerabilità che colpiscono il plug-in POST SMTP Mailer WordPress, uno strumento di consegna della posta elettronica utilizzato da 300.000 siti Web, potrebbero aiutare gli aggressori ad assumere il controllo completo dell'autenticazione di un sito.

Il mese scorso, i ricercatori sulla sicurezza di Wordfence Ulysses Saicha e Sean Murphy hanno scoperto due vulnerabilità nel plugin e le hanno segnalate al fornitore.

Il primo, segnalato come CVE-2023-6875, è un difetto critico di bypass dell'autorizzazione derivante da un problema di "giocolazione dei tipi" sull'endpoint REST dell'app di connessione. Il problema riguarda tutte le versioni del plugin fino alla 2.8.7

Un utente malintenzionato non autenticato potrebbe sfruttarlo per reimpostare la chiave API e visualizzare informazioni di registro sensibili, comprese le e-mail di reimpostazione della password.

Nello specifico, l'aggressore può sfruttare una funzione relativa all'app mobile per impostare tramite una richiesta un token valido con valore zero per la chiave di autenticazione.

Successivamente, l'aggressore attiva una reimpostazione della password per l'amministratore del sito e quindi accede alla chiave dall'interno dell'applicazione, modificandola e bloccando l'accesso dell'utente legittimo all'account.

Con i privilegi di amministratore, l'aggressore ha pieno accesso e può installare backdoor, modificare plugin e temi, modificare e pubblicare contenuti o reindirizzare gli utenti verso destinazioni dannose.

La seconda vulnerabilità è un problema di cross-site scripting (XSS) identificato come CVE-2023-7027 che deriva da un'insufficiente sanificazione dell'input e dall'escape dell'output.

Wordfence ha contattato per la prima volta il fornitore in merito al difetto critico l'8 dicembre 2023 e, dopo aver inviato il rapporto, ha fatto seguito a un exploit proof-of-concept (PoC) il 15 dicembre.

Il problema XSS è stato segnalato il 19 dicembre 2023 e il giorno successivo è stato condiviso un PoC.

Il fornitore del plugin ha pubblicato il 1° gennaio 2024 la versione 2.8.8 di POST SMPT che include correzioni di sicurezza per entrambi i problemi.

Secondo le statistiche di wordpress.org, ci sono circa 150.000 siti che eseguono una versione vulnerabile del plugin inferiore alla 2.8.

Della restante metà che ha installato la versione 2.8 e successive, migliaia sono probabilmente anch'esse vulnerabili se si considera che la piattaforma riporta circa 100.000 download dal rilascio della patch.