I bug nel plugin WordPress consentono l'esecuzione del codice in remoto
I siti Web che eseguono WordPress e utilizzano il plug-in Frontend File Manager sono a rischio di attacchi di hacker. Il plug-in in questione, che si concentra sul caricamento e sulla gestione dei file durante l'utilizzo della piattaforma WP, presenta un bug critico di scripting cross-site che consente agli hacker di iniettare JavaScript dannoso nelle pagine e creare i propri account a livello di amministratore.
Il bug critico si trova nelle versioni 17.1 e 18.2 del plugin Frontend File Manager ed è uno dei sei bug ad alta minaccia in queste due versioni. Il problema è che, secondo il rapporto di Threatpost sul problema, ci sono oltre duemila siti Web che eseguono le stesse due versioni del plug-in WP.
Le vulnerabilità critiche del plugin sono state annunciate pubblicamente il 12 giugno e le patch sono già state rese disponibili per loro.
Oltre a dare la possibilità di iniettare codice JavaScript nelle pagine del sito che esegue WP e il plug-in, i bug hanno anche permesso agli hacker di modificare o semplicemente eliminare pagine e post, aumentare i privilegi dell'account ed eseguire attacchi di scripting tra siti, indicati anche come attacchi XSS. Queste scoperte sono state fatte da ricercatori di sicurezza che lavorano con Ninja Technologies Network.
Il rapporto di Ninja Technologies fornisce una ripartizione dettagliata di tutte le funzioni difettose utilizzate nel plug-in e spiega come esattamente queste consentano ai malintenzionati di iniettare codice dannoso nelle pagine o elevare i privilegi dell'account e ottenere efficacemente l'accesso e i privilegi di amministratore.
I bug consentono inoltre agli hacker di aggiungere PHP all'elenco dei file consentiti per il caricamento all'interno del plugin Frontend File Manager. Ciò a sua volta consente loro di caricare script dannosi che consentono l'esecuzione di codice remoto.
Chiunque utilizzi il plug-in Frontend File Manager sul proprio sito Web WP dovrà aggiornare immediatamente alla versione 18.3 del plug-in per evitare possibili problemi e proteggere la propria configurazione.
I plugin di WordPress sono noti per avere vulnerabilità e problemi che possono portare a seri problemi per i proprietari del sito. Il plugin Frontend File Manager non è il primo, e se la cronologia delle tracce di altri plugin è qualcosa da seguire, probabilmente non sarà l'ultimo ad avere bug critici. I proprietari di siti Web che eseguono plug-in WordPress personalizzati dovrebbero sempre essere alla ricerca di aggiornamenti per tali plug-in, per rimanere il più sicuri possibile.