InfiniteWP, WP Time Capsule e WP Database Reset. Sono i nomi dei tre plugin WordPress integrati in circa 400.000 siti online e interessati da una serie di vulnerabilità scovate di recente dal team di Wordfence. Già disponibili gli update correttivi.
WordPress: vulnerabilità per alcuni plugin
Nel caso di InfiniteWP (oltre 200.000 installazioni), utilizzato dagli amministratori per gestire più siti attraverso un unico server, la falla consente potenzialmente a chiunque di accedere al pannello di controllo senza essere in possesso delle credenziali: è sufficiente conoscere il nome di un account e inviare una richiesta passando un parametro tramite metodo Post. Da lì un malintenzionato è in grado di creare o eliminare profili utente così come di modificare o cancellare i contenuti innescando conseguenze che non è difficile immaginare. Tutti coloro che impiegano il plugin sono chiamati a effettuare immediatamente l’aggiornamento alla versione 1.9.4.5 appena rilasciata.
La criticità emersa in WP Time Capsule (presente su 20.000 siti), utile per semplificare il processo di backup dei database, espone nuovamente il pannello di amministrazione. Sempre tramite una richiesta Post confezionata ad hoc è possibile ottenere un elenco degli account con suddetti privilegi ed effettuare automaticamente il login al primo della lista. Il bug è stato corretto nella release 1.21.16.
Infine, la falla di WP Database Reset (circa 80.000 portali) permette di effettuare il reset di ogni tabella presente nell’archivio anche senza autenticazione. Nel caso di attacco portato a termine con successo un sito rischierebbe di perdere tutti i contenuti caricati e pubblicati. Un altro problema dello stesso plugin è quello che consente a utenti con permessi limitati di accedere a comandi riservati agli amministratori. Entrambe le vulnerabilità sono state risolte nella versione 3.15.
Al momento non ci sono prove concrete di abusi. Per scongiurarne il rischio, come già detto, per coloro che impiegano le tre componenti descritte il consiglio è quello di procedere all’update il prima possibile.