Scoperta una grave vulnerabilità nel plugin WordPress Nested Pages

Il database nazionale delle vulnerabilità degli Stati Uniti (NVD) e Wordfence hanno pubblicato un avviso di sicurezza relativo a una vulnerabilità CSRF di gravità elevata che interessa il plugin Nested Pages di WordPress, coinvolgendo fino a +100.000 installazioni. La vulnerabilità ha ricevuto una valutazione del Common Vulnerability Scoring System (CVSS) di 8,8 su una scala da 1 a 10, con dieci rappresentando il livello di gravità più alto.

Il Cross Site Request Forgery (CSRF) è un tipo di attacco che sfrutta una falla di sicurezza nel plugin Nested Pages che consente ad attaccanti non autenticati di chiamare (eseguire) file PHP, che sono i file di livello di codice di WordPress.

Vi è una mancata o errata convalida del nonce, che è una funzionalità di sicurezza comune utilizzata nei plugin di WordPress per proteggere moduli e URL. Un secondo difetto nel plugin è una mancanza di una funzionalità di sicurezza chiamata sanificazione. La sanificazione è un metodo di sicurezza dei dati che vengono inseriti o restituiti e che è comune nei plugin di WordPress, ma in questo caso è assente.

Secondo Wordfence: “Ciò è dovuto alla mancata o errata convalida del nonce sulla funzione ‘impostazioniPagina’ e alla mancanza di sanitizzazione del parametro ‘scheda'”.

L’attacco CSRF si basa sul fatto di indurre un utente WordPress connesso (come un amministratore) a fare clic su un link che, a sua volta, permette all’attaccante di completare l’attacco. Questa vulnerabilità è valutata 8,8, il che la rende una minaccia di grande gravità. Per mettere le cose in prospettiva, un punteggio di 8,9 è una minaccia di livello critico che è ancora più elevata. Quindi, con un rating di 8,8 è appena al di sotto del livello critico.

Questa vulnerabilità riguarda tutte le versioni del plugin Nested Pages fino alla versione 3.2.7. Gli sviluppatori del plugin hanno rilasciato una correzione di sicurezza nella versione 3.2.8 e hanno pubblicato responsabilmente i dettagli dell’aggiornamento di sicurezza nel loro changelog.

Il changelog ufficiale documenta la correzione di sicurezza: “Aggiornamento di sicurezza che affronta il problema CSRF nelle impostazioni del plugin”.

Leggi l’avviso su Wordfence: Nested Pages <= 3.2.7 - Cross-Site Request Forgery to Local File Inclusion Leggi l'avviso su NVD: CVE-2024-5943 Dettaglio Immagine in evidenza di Shutterstock/Dean Drobot.