Una vulnerabilità di gravità critica in un plugin di WordPress, utilizzato in oltre 90.000 installazioni, potrebbe permettere agli aggressori di eseguire codice a distanza e compromettere completamente i siti web vulnerabili. Il plugin in questione, denominato “Backup Migration“, aiuta gli amministratori a automatizzare i backup dei siti su storage locale o su un account Google Drive.
Dettagli della Vulnerabilità
La falla di sicurezza, tracciata come CVE-2023-6553 e valutata con un punteggio di gravità di 9.8/10, è stata scoperta da un team di cacciatori di bug noto come Nex Team, che ha segnalato il problema alla società di sicurezza WordPress Wordfence tramite un programma di bug bounty recentemente lanciato. La vulnerabilità impatta tutte le versioni del plugin fino alla 1.3.6 inclusa, e gli attori malintenzionati possono sfruttarla in attacchi a bassa complessità senza interazione dell’utente.
Come Funziona l’Attacco
CVE-2023-6553 consente agli aggressori non autenticati di prendere il controllo dei siti web bersaglio ottenendo l’esecuzione di codice remoto tramite l’iniezione di codice PHP attraverso il file /includes/backup-heart.php. “Questo è dovuto al fatto che un aggressore può controllare i valori passati a un include, e successivamente sfruttarlo per ottenere l’esecuzione di codice remoto. Ciò rende possibile per gli attori della minaccia eseguire facilmente codice sul server”, ha dichiarato Wordfence.
Rilascio della Patch
Wordfence ha segnalato la grave falla di sicurezza al team di sviluppo di Backup Migration, BackupBliss, il 6 dicembre, con gli sviluppatori che hanno rilasciato una patch poche ore dopo. Tuttavia, nonostante il rilascio della versione corretta del plugin Backup Migration 1.3.8 il giorno della segnalazione, quasi 50.000 siti web WordPress che utilizzano una versione vulnerabile devono ancora essere messi in sicurezza, come mostrano le statistiche di download di WordPress.org.
Consigli per gli Amministratori
Gli amministratori sono fortemente consigliati a proteggere i loro siti web contro potenziali attacchi sfruttando CVE-2023-6553, data la criticità della vulnerabilità che può essere sfruttata a distanza da attori malintenzionati non autenticati.