Bisogna tenere d’occhio alcuni plugin su WordPress, soprattutto se contengono delle vulnerabilità di gravità tali da consentire a hacker o aggressori di ottenere il Remote Code Execution (RCE), e così compromettere i siti Web vulnerabili.
È quanto trapelato da Nex Team, un team specializzato in bug bounty, che ha segnalato alla società di sicurezza di WordPress Wordfence una vulnerabilità di gravità critica in un plugin WordPress, con più di 50.000 installazioni all’attivo.
Un plug-in di WordPress ha esposto oltre 50mila siti
Si chiama Backup Migration, Migrazione backup. Questo è il plug-in che secondo Nex Team rischia di diventare un problema per chi ha un sito in WordPress.
Sviluppato per aiutare gli amministratori ad automatizzare i backup del sito nello spazio di archiviazione locale o in un account Google Drive, ora risulta infetto da un bug di sicurezza classificato come CVE-2023-6553 e valutato con 9,8/10 punteggio di gravità.
Come riportato da BleepingComputer, tale vulnerabilità ha un impatto su tutte le versioni dei plug-in fino a Backup Migration 1.3.6 inclusa. Se qualcuno dovesse sfruttarla, riuscirebbe a effettuare attacchi a bassa complessità senza l’interazione dell’utente.
In maniera più prosaica, gli aggressori potrebbero prendere il controllo dei siti Web presi di mira ottenendo l’RCE (Remote Control Execution, esecuzione di codice remoto) e questo tramite l’iniezione di codice PHP tramite il file /includes/backup-heart.php.
Per la cronaca, gli attacchi RCE (Remote Code Execution) consentono a un utente malintenzionato di eseguire in remoto un codice dannoso su un computer. Il loro impatto può andare dall’esecuzione di malware all’acquisizione del pieno controllo su un device.
Rilasciata in poche ore una patch correttiva
A seguito della segnalazione, Wordfence ha avvisato a sua volta BackupBliss, il team di sviluppo dietro il plugin Backup Migration. Già il 6 dicembre gli sviluppatori hanno rilasciato una patch poche ore dopo.
Ma nonostante il rilascio della versione del plug-in Backup Migration 1.3.8, risultano ancora quasi 50.000 siti Web WordPress che utilizzano una versione soggetta a tale vulnerabilità. E che ancora non risultano protetti quasi una settimana dopo, secondo le statistiche di download di WordPress.org.
Si consiglia vivamente agli amministratori di proteggere i propri siti Web da potenziali attacchi CVE-2023-6553, dato che si tratta di una vulnerabilità critica molto pericolosa.
Sempre BleepingComputer accenna all’ultimo attacco ai danni degli amministratori di WordPress, presi di mira da una campagna di phishing. In questa circostanza, gli hacker hanno tentato di indurli con l’inganno a installare plugin dannosi utilizzando falsi avvisi di sicurezza di WordPress per una vulnerabilità risultata poi fittizia (CVE-2023-45124).
