Nuova minaccia per i siti Wordpress: vulnerabilità critiche per il plugin Orbit Fox
Due nuove vulnerabilità (una Stored XSS e una Privilege Escalation) sono state scoperte dagli esperti di cybersecurity di Wordfence all'interno del plugin Orbit Fox e mettono a rischio i siti Wordpress di migliaia di utenti (circa 400.000 installazioni!).
Il plugin permette agli amministratori di sistema di aggiungere e gestire varie features all'interno dei siti in cui è stato installato, come ad esempio widget, form di registrazione, analytics, ecc.
Il programma è stato sviluppato da ThemeIsle e ed è ideato per migliorare le funzionalità offerte da Elementor, Beaver Builder e Gutenberg, oltre ad implementarne di nuove.
Le vulnerabilità:
Le vulnerabilità:
Due vulnerabilità possono essere exploitate dagli attaccanti con lo scopo di iniettare del codice malevolo all'interno del sito e prendendone così il controllo.
Queste le parole dei ricercatori:
Queste le parole dei ricercatori:
La vulnerabilità di privilege escalation (autenticazione richiesta) è stata classificata come Critical e ha ricevuto un punteggio CVSS pari a 9,9. Gli attaccanti autenticati con permessi di "contributor" o superiore possono aumentare i loro privilegi raggiungendo quelli di amministratore, assumendo potenzialmente il controllo dell'intero sito web.
La vulnerabilità Stored XSS (autenticazione richiesta) invece permette ad eventuali attaccanti con permessi di "contributor" o "author" di iniettare del codice JavaScript all'interno dei post del sito. Un attaccante quindi potrebbe exploitare questa falla con lo scopo di condurre diverse azioni malevole, come per esempio attacchi di malvertising. La vulnerabilità è stata classificata come Medium e ha ricevuto un CVSS di 6.4.
Ad entrambe le vulnerabilità non è ancora stato assegnato un CVE ID. I dettagli tecnici degli attacchi però possono essere consultati presso il sito di chi ha scoperto le vulnerabilità: articolo ufficiale.
La vulnerabilità Stored XSS (autenticazione richiesta) invece permette ad eventuali attaccanti con permessi di "contributor" o "author" di iniettare del codice JavaScript all'interno dei post del sito. Un attaccante quindi potrebbe exploitare questa falla con lo scopo di condurre diverse azioni malevole, come per esempio attacchi di malvertising. La vulnerabilità è stata classificata come Medium e ha ricevuto un CVSS di 6.4.
Ad entrambe le vulnerabilità non è ancora stato assegnato un CVE ID. I dettagli tecnici degli attacchi però possono essere consultati presso il sito di chi ha scoperto le vulnerabilità: articolo ufficiale.
Privilege Escalation - la spiegazione:
Il plugin Orbit Fox include un widget che quando utilizzato assieme a Elementor e Beaver Builder, può creare un form di registrazione con dei campi personalizzati. Al momento della creazione del form, il plugin fornirà la possibilità di impostare un ruolo predefinito da utilizzare ogni volta che un utente si registra, opzione non mostrara se non si hanno gli adeguati permessi.
La richista vulnerabile:
Per vedere questo contenuto, devi Accedere o Registrarti.
La mancanza di convalida lato server ha fatto sì che un utente con permessi limitati ma con accesso all'editor delle pagine/post potesse creare un modulo di registrazione e impostare il ruolo dell'utente su "amministratore". Una volta creato il form di registrazione, l'utente poteva semplicemente registrare un nuovo utente e gli sarebbero stati concessi i privilegi di amministratore anche se ancora autenticato sull'istanza di WordPress.
Stored XSS - la spiegazione:
Questo falla permetteva quindi agli utenti con bassi privilegi di iniettare del codice JavaScript all'interno degli header e footer dei post, codice che sarebbe stato eseguito nel browser di ogni utente ogni volta che avesse navigato sulla pagina infetta.
Remediation:
Le due vulnerabilità sono state risolte con il rilascio della versione 2.10.3.Disclosure Timeline:
*Informazioni prese direttamente dal sito dei ricercatori*November 19, 2020 – Conclusion of the plugin analysis that led to the discovery of two vulnerabilities in the Orbit Fox by ThemeIsle plugin.
November 19, 2020 – We develop firewall rules to protect Wordfence customers and release them to Wordfence Premium users. We initiate contact with the plugin’s developer.
November 23, 2020 – The plugin’s developer confirms the inbox for handling discussion.
November 24, 2020 – We submit full disclosure.
December 8, 2020 – We follow up as we have not yet received a response from our disclosure.
December 15, 2020 – We send our final follow-up indicating that we will need to escalate the process per our disclosure guidelines if no response is received by December 18th.
December 17, 2020 – We receive a response and a patched version of the plugin is released as version 2.10.3. We verify that the vulnerabilities have been patched.
December 19, 2020 – Free Wordfence users receive firewall rule.
Maggiori informazioni:
Per vedere questo contenuto, devi Accedere o Registrarti.
