WordPress: trovata vulnerabilità critica nel plugin Royal Elementor

Il team di ricercatori della società di sicurezza informatica Wordfence Threat Intelligence ha scovato una nuova vulnerabilità critica all’interno del plugin Royal Elementor Addons and Templates di WordPress. Si tratta di un plugin abbastanza popolare che permette di creare rapidamente elementi da inserire all’interno del sito, senza dover avere necessariamente conoscenze di codifica. Secondo WordPress.org, questo componente aggiuntivo è attualmente installato su oltre 200.000 siti creati con questo CMS. Questa vulnerabilità era presente fino alla versione 1.3.78 del plugin. Nonostante sia già stata corretta, i ricercatori hanno dichiarato che è stata sfruttata attivamente da alcuni cybercriminali per caricare file arbitrari su siti vulnerabili. Considerando che questa è stata sfruttata prima che il fornitore rilasciasse la patch di sicurezza, il bug è stato sfruttato dagli hacker come zero-day.

WordPress: come funziona la vulnerabilità di Royal Elementor Addons and Templates

La vulnerabilità che ha colpito il plugin è stata indicata come CVE-2023-5360 e ha un punteggio CVSS v3.1 di 9,8, considerato critico. Grazie a questo bug, gli hacker non autenticati potevano caricare file PHP con contenuti dannosi, come una backdoor. Ciò rendeva quindi possibile l'esecuzione di codice in modalità remota e portava alla completa compromissione del sito. Sebbene il plugin sia dotato di una convalida dell’estensione per limitare i caricamenti solo a tipi di file specifici e consentiti, gli utenti non autenticati possono manipolare l’elenco dei file consentiti e aggirare i controlli. Ulteriori dettagli sulla vulnerabilità sono stati nascosti per evitare un suo sfruttamento diffuso.

Secondo quanto riportato da Wordfence, gli attacchi sarebbero iniziati il 30 agosto 2023. Nell’ultimo mese la società di sicurezza avrebbe bloccato circa 46.169 attacchi che sfruttavano questa vulnerabilità. WPScan, lo strumento della società di sicurezza Sicuri, ha inoltre registrato 889 casi di criminali che hanno rilasciato dieci payload distinti dopo aver sfruttato la falla. Come già accennato, la maggior parte dei payload utilizzati in questi attacchi sono script PHP che tentano di creare un utente amministratore di WordPress denominato "wordpress_administrator" o di agire come backdoor. L’autore del plugin ha corretto la vulnerabilità con l’aggiornamento dello scorso 6 ottobre (consigliato a tutti gli utenti). Tuttavia, questo non rimuoverà i file dannosi dai siti WordPress già infetti. Per risolvere completamente il problema è quindi necessaria una pulizia completa del sito.