Home Privacy e Sicurezza WP GDPR Compliance 1.4.2 compromesso, cosa è accaduto

WP GDPR Compliance 1.4.2 compromesso, cosa è accaduto

761
0
WP GDPR Compliance compromesso

Questi sono stati giorni davvero tosti per il popolare plugin per il GDPR Compliance: la versione 1.4.2 è stata compromessa, permettendo ad individui malintenzionati di potersi aprire dei varchi sui siti che hanno installato il plugin e ottenere i privilegi di amministratore.

Questa vulnerabilità è stata scoperta da WordFence l’8 Novembre scorso: il plugin in questione è stato subito rimosso dalla repository di WordPress e gli sviluppatori dello stesso hanno subito “messo una pezza” rilasciando la 1.4.3, che effettua tutti i controlli sulle procedure, neutralizzando la minaccia.

Cosa è successo dal punto di vista tecnico

Le versioni 1.4.2 e precedenti del plugin gestiscono alcune azioni che possono essere inviate attraverso file admin-ajax.php. Queste comprendono richieste di accesso e modifiche dati da parte degli utenti:

“However, unpatched versions of WP GDPR Compliance (up to and including version 1.4.2) fail to do capability checks when executing its internal action save_setting to make such configuration changes. If a malicious user submits arbitrary options and values to this endpoint, the input fields will be stored in the options table of the affected site’s database”.

Non riuscendo a fare controlli di capacità quando si esegue l’azione interna save_setting per apportare tali modifiche alla configurazione, la falla ha consentito ad un utente malintenzionato di inviare opzioni e valori arbitrari a questo endpoint, inserendo tali opzioni nel database del sito vittima. Inoltre, il plugin esegue una chiamata do_action () utilizzando il nome e il valore dell’opzione fornita, che può essere utilizzato dagli autori di attacchi per attivare azioni WordPress arbitrarie.

Come difendersi

Installando la patch di sicurezza 1.4.3 rilasciata qualche ora dopo la scoperta della falla.

Se tu che leggi sei un utente finale del sito compromesso, contatta chi ti ha sviluppato il sito: lui sicuramente saprà cosa fare.