WordPress: zero-day critici prendono di mira plugin immobiliari

Il tema RealHome e il plugin Easy Real Estate per WordPress sono vulnerabili a due falle critiche che consentono agli utenti non autenticati di ottenere privilegi amministrativi. Le due falle siano state scoperte a settembre 2024 dal team di Patchstack. Sebbene siano stati fatti diversi tentativi di contattare il fornitore (InspiryThemes), i ricercatori affermano di non aver ricevuto risposta. Inoltre, Patchstack afferma che il fornitore ha rilasciato tre versioni da settembre, ma non sono state introdotte correzioni di sicurezza per risolvere i problemi critici. Quindi, i problemi rimangono irrisolti e sfruttabili.

WordPress: dettagli sulla vulnerabilità dei plugin

Il primo difetto, che ha un impatto sul tema RealHome, è un problema di escalation dei privilegi non autenticati tracciato come CVE-2024-32444 (punteggio CVSS: 9,8). Il tema di WordPress consente agli utenti di registrare nuovi account tramite la funzione inspiry_ajax_register, tuttavia, non controlla correttamente l'autorizzazione né implementa una convalida nonce. Se la registrazione è abilitata sul sito web, gli aggressori possono specificare arbitrariamente il loro ruolo di "Amministratore" in una richiesta HTTP appositamente creata alla funzione di registrazione, essenzialmente aggirando i controlli di sicurezza. Una volta registrato come amministratore, l'aggressore può successivamente ottenere il pieno controllo del sito WordPress. Ciò include la manipolazione dei contenuti, l'inserimento di script e l'accesso ai dati sensibili degli utenti o ad altri dati sensibili.

Il difetto che ha un impatto sul plugin Easy Real Estate è un altro problema di escalation dei privilegi non autenticati tramite l'accesso social. È tracciato sotto CVE-2024-32555 (punteggio CVSS: 9,8). Il problema deriva dalla funzionalità di accesso social, che consente agli utenti di accedere utilizzando il proprio indirizzo e-mail senza verificare se appartiene alla persona che effettua la richiesta. Di conseguenza, se un aggressore conosce l'indirizzo e-mail di un amministratore, può accedere senza bisogno di una password. Le ripercussioni di uno sfruttamento riuscito sono simili a quelle di CVE-2024-32444. InspiryThemes non ha ancora rilasciato alcuna patch. Quindi, i proprietari e gli amministratori di siti web che utilizzano il suddetto tema o plugin dovrebbero disattivarli immediatamente. Infine, limitare la registrazione degli utenti sui siti web interessati impedirebbe anche la creazione di account non autorizzati.