WordPress: plugin Fancy Product Designer vulnerabile a 2 criticità

Il plugin WordPress premium Fancy Product Designer di Radykal è stato colpito da due difetti di gravità critica che non sono stati risolti nell'ultima versione. Con oltre 20.000 vendite, il plugin consente la personalizzazione dei design dei prodotti (ad esempio, abbigliamento, tazze, cover per telefoni) sui siti WooCommerce cambiando i colori, trasformando il testo o modificandone le dimensioni. Durante l'esame del plugin, Rafie Muhammad di Patchstack ha scoperto il 17 marzo 2024 che il plugin era vulnerabile ai seguenti due difetti critici. Il primo è CVE-2024-51919, con un punteggio CVSS: 9,0. Si tratta di una vulnerabilità di caricamento di file arbitrari non autenticati causata da un'implementazione non sicura delle funzioni di caricamento file 'save_remote_file' e 'fpd_admin_copy_file', che non convalidano o limitano correttamente i tipi di file. Gli aggressori possono sfruttare questa vulnerabilità fornendo un URL remoto per caricare file dannosi, ottenendo l'esecuzione di codice remoto (RCE).

L’altra vulnerabilità è del plugin WordPress è CVE-2024-51818 (punteggio CVSS: 9,3). Si tratta di un difetto di iniezione SQL non autenticato causato dalla sanificazione non corretta degli input utente dovuta all'uso di "strip_tag" insufficienti. L'input fornito dall'utente viene integrato direttamente nelle query del database senza un'adeguata convalida. Ciò porta potenzialmente alla compromissione del database, al recupero, alla modifica e all'eliminazione dei dati. Nonostante Patchstack abbia notificato al fornitore i problemi un giorno dopo averli scoperti, Radykal non ha mai risposto. Il 6 gennaio, Patchstack ha aggiunto i difetti al suo database e nelle scorse ore ha pubblicato un post sul blog per avvisare gli utenti e aumentare la consapevolezza sui rischi.

WordPress: le due vulnerabilità sono ancora senta patch

Sebbene il plugin WordPress abbia ottenuto 20 nuove versioni, l'ultima delle quali è la 6.4.3, i due problemi critici di sicurezza rimangono senza patch. La descrizione di Patchstack fornisce informazioni tecniche sufficienti agli aggressori per creare exploit e iniziare a prendere di mira i negozi online che utilizzano il plugin Fancy Product Designer di Radykal. Come raccomandazione generale, gli amministratori dovrebbero impedire caricamenti di file arbitrari creando un elenco consentito con estensioni di file sicure. Inoltre, Patchstack consiglia di proteggersi dall'iniezione SQL sanificando l'input dell'utente per una query eseguendo un escape e un formato sicuri.