skip to Main Content

WordPress, scoperta falla sui plugin WP Client e WP Time Capsule

WordPress, Scoperta Falla Sui Plugin WP Client E WP Time Capsule

WebARX: Nuove falle nei plugin di WordPress: WP Client e WP Time Capsule hanno bug nella logica di autenticazione, che permettono il bypass di questa e l’accesso come amministratore senza la necessità di credenziali valide

Nuove falle nei plugin di WordPress: questa volta sotto la lente sono finiti WP Client e WP Time Capsule. I ricercatori di cyber security di WebARX hanno scoperto che contengono bug nella logica di autenticazione, permettendo il bypass di questa e l’accesso come amministratore senza la necessità di conoscere una coppia di credenziali valide. Nel primo caso, come ricorda il CERT-PA, la logica di autenticazione valida lo username fornito nella richiesta delegando eventuali controlli al codice che si occupa di accogliere la richiesta. Quest’ultimo normalmente blocca tutte le richieste non autenticate ma due di esse (add_site e readd_site) possono passare anche senza autenticazione. Diventa quindi possibile inviare una richiesta non autenticata e impersonare un utente arbitrario. Nel secondo, se è presente la stringa IWP_JSON_PREFIX nel payload della richiesta, il codice autentica l’utente con il primo account amministratore disponibile.

Solo il mese scorso i ricercatori di cyber security ne avevano trovata un’altra su Ultimate Addons per Elementor e Beaver Builder, peraltro subito sfruttata dal cybercrime per lanciare attacchi

Quella di WP Client e WP Time Capsule è solo l’ultima vulnerabilità nei plugin di WordPress scoperta dai ricercatori di cyber security. Solo il mese scorso ne era stata trovata un’altra su Ultimate Addons per Elementor e Beaver Builder. Questa, peraltro, a differenza delle ultime, è stata già sfruttata dal cybercrime per cercare di loggarsi in un account esistente. In pratica veniva caricato il file tmp.zip per installare un falso plugin di statistiche Seo, il quale poi aggiungeva una backdoor wp-xmlrpc.php nella directory root del sito vulnerabile. Dopo l’infezione con il malware IP multipli cercavano di accedere al file. Ciò grazie al fatto che Addons ha una feature che permette agli utenti di loggarsi usando una combinazione regolare di username/password, Facebook e Google. Ma nell’autenticazione via social media non si verificano i token di ritorno e non è richiesta password. Di conseguenza, questa non viene controllata.

Back To Top