Riepilogo vulnerabilità di wordpress: maggio 2019 Parte II°

Con questo articolo vogliamo tenerti informato sulle vulnerabilità di wordpress (Plugin e temi)che sono state divulgate durante l’ultima metà del mese di maggio 2019

Vulnerabilità dei plugin di WordPress

Sono state scoperte diverse nuove vulnerabilità dei plugin per WordPress. Assicurati di seguire l’azione suggerita per aggiornare il plugin o disinstallarlo completamente.

1. Live Chat with Facebook Messenger by zotabox

Il Live Chat with Facebook Messenger, versione 1.4.6 e seguenti, è vulnerabile a un attacco di scripting cross-site.
La vulnerabilità è stata corretta e si dovrebbe aggiornare alla versione 1.4.7.

2. Newsletter Manager by xyzscripts.com
Il plugin di Newsletter Manager è vulnerabile a un reindirizzamento aperto non autenticato. L’input dell’evento non è stato disinfettato, creando un exploit XSS.
WordPress.org ha chiuso il plugin di Newsletter Manager, quindi rimuovi il plugin e trova una sostituzione.

3. ConvertPlus
Convert Plus versione 3.4.2 e inferiore è vulnerabile a un attacco di creazione di un ruolo utente arbitrario non autenticato. Utilizzando l’exploit, gli aggressori possono creare nuovi utenti Admin senza nemmeno dover accedere al tuo sito web. Una volta che un cattivo utente ha accesso amministrativo al tuo sito, può reindirizzare i visitatori del tuo sito a siti dannosi, bloccare l’accesso e aggiungere malware al tuo sito.
La vulnerabilità è stata riparata e si dovrebbe aggiornare alla versione 3.4.3.

4. WP Booking System
Il plug-in del sistema di prenotazione di WP versione 1.5.1.1 e inferiore è vulnerabile a un attacco di contraffazione di richiesta tra siti. I sistemi di prenotazione di WP non includevano gli attacchi CSRF che avrebbero potuto portare a un utente malintenzionato di ignorare i requisiti di privilegio dell’amministratore ed eseguire un’iniezione SQL.
La vulnerabilità è stata corretta e si dovrebbe aggiornare alla versione 1.5.2.

5. FV Flowplayer Video Player
La versione 7.3.14.727 di Video Player di FV Flowplayer e versioni successive aveva tre diverse vulnerabilità divulgate questo mese. Il plugin era vulnerabile agli attacchi XSS, SQL Injection e CSV Export non autenticati.
Se un utente malintenzionato ha sfruttato le vulnerabilità, avrebbe consentito loro di fornire un input e-mail e di visualizzarlo nella schermata di esportazione della posta elettronica. La vulnerabilità di SQL Injection era legata all’abbonamento alla posta elettronica e la terza vulnerabilità consentiva agli utenti ospiti di creare un’esportazione CSV dell’abbonamento alla posta elettronica.
Le vulnerabilità sono state corrette e si dovrebbe aggiornare alla versione 7.3.15.727.

6. Slimstat Analytics
Slimstat Analytics versione 4.8 e inferiore è vulnerabile a un attacco XSS memorizzato non autenticato. La vulnerabilità consentirebbe a qualsiasi visitatore del sito di inserire codice JavaScript arbitrario nel log di accesso dei plug-in. Come riportato da Sucuri:

Un utente malintenzionato potrebbe creare una richiesta di analisi fingendo che il suo browser abbia un plug-in appositamente predisposto per inserire codice arbitrario nel registro di accesso del plugin. Questo verrà eseguito una volta che un amministratore accede.

La vulnerabilità è stata riparata e si dovrebbe aggiornare alla versione 4.8.1.

7. Form Maker by 10Web

Form Maker di 10Web versione 1.13.2 e seguenti è vulnerabile a un’iniezione SQL autenticata. Come riportato da Daniele Scanu, sarebbe possibile eseguire un’iniezione SQL nella funzione get_labels_parameters nel file `form-maker / admin / models / Submissions_fm.php` con un valore artigianale del parametro asc_or_desc.
La vulnerabilità è stata riparata e si dovrebbe aggiornare alla versione 1.13.3.

8. Simple File List Plugin
Simple File List Plugin versione 3.2.4 e inferiore è vulnerabile a un attacco di download di file arbitrario non autenticati. La vulnerabilità consente a qualsiasi utente che conosce la richiesta di scaricare l’elenco di file, che può esporre informazioni riservate.
La vulnerabilità è stata corretta e si dovrebbe aggiornare alla versione 3.2.4.

9. Slick Popup
Slick Popup è vulnerabile a un attacco di escalation di privilegi. La vulnerabilità consente agli abbonati di creare un account amministratore con credenziali di accesso hardcoded. Puoi utilizzare questa combinazione di HERNCODED USERNAME e PASSWORD.
Nome utente: slickpopupteam (Più simile a non-slick)
Password: OmakPass13#
WordPress.org ha chiuso Slick Popup Manager nel maggio 2019, quindi suggerirei di rimuovere il plug-in e trovare una sostituzione.

10. Hustle Pop-Ups, Slide-ins and Email Opt-ins
La versione 6.0.7 e inferiore di Hustle è vulnerabile a un attacco di Injection CSV non autenticato. L’exploit consente a un utente malintenzionato di immettere codice dannoso in una finestra popup. L’attore malintenzionato potrebbe quindi iniettare codice dannoso sul computer dell’amministratore tramite una funzione di Excel.
La vulnerabilità è stata riparata e si dovrebbe aggiornare alla versione 6.0.8.1.

Conclusioni

Concludiamo ricordandoti che il software obsoleto è il numero uno dei motivi per cui i siti vengono violati. Purtroppo due delle vulnerabilità rivelate in questo articolo non sono state riparate. Lasciare software obsoleto sul tuo sito ti lascerà vulnerabile agli attacchi rimuovi i plugin che ti abbiamo segnalato e se non sai quale strada alternativa percorrere non esitare a contattarci.

Fonte: ithemes.com
Traduzione: NOVA SYSTEMI