Gli esperti di sicurezza di Wordfence hanno individuato un exploit sfruttato per condurre degli attacchi contro siti Web basati su WordPress che utilizzano un particolare plugin per le gift card: YITH WooCommerce Gift Cards Premium. Le installazioni del CMS potenzialmente a rischio sarebbero circa 50 mila in tutto il mondo.
Cos'è YITH WooCommerce Gift Cards Premium
YITH WooCommerce Gift Cards Premium è un'estensione appositamente pensata per chi gestisce uno store online tramite WooCommerce e desidera vendere carte regolo attraverso di esso. Gli sviluppatori del plugin hanno già provveduto a distribuire un aggiornamento in grado di risolvere il problema rilevato dai ricercatori.
I siti Internet non ancora in sicurezza potrebbero essere però numerosi.
Come testimoniato dal bollettino CVE-2022-45359, la falla alla base dell'exploit era già nota dallo scorso novembre, essa infatti permette l'upload di file senza alcuna procedura dei autenticazione nelle release dell'estensione precedenti alla 3.19.0.
Rischio da XSRF
In sostanza le versioni più datate del plugin sarebbero affette da una classica vulnerabilità di tipo XSRF (Cross-site request forgery), a causa della quale un client è in grado di inviare delle richieste di caricamento arbitrarie sfruttando l'assenza di verifiche lato server.
Nel caso specifico di YITH WooCommerce Gift Cards Premium parliamo quindi della possibilità di caricare script PHP malevoli, come per esempio degli uploader appositamente confezionati per eseguire un exploit. Tale falla potrebbe essere utilizzata inoltre per utilizzare i siti Web colpiti come base per l'invio di phishing agli utenti di un e-commerce.
Dato un bug di questo tipo, per un attaccante potrebbe essere molto semplice caricare degli script malevoli, ad esempio delle backdoor, sul sito target. Fatto questo il sito Web colpito dovrebbe finire sotto controllo esterno come già accaduto fino ad ora a oltre 12 mila installazioni di WordPress.
La soluzione migliore per tutti coloro che utilizzano il plugin coinvolto è quindi quella di aggiornarlo alla versione 3.21.0, la prima che è stata modificata per rimuovere la falla che consente caricamenti non verificati.