Gli specialisti della sicurezza informatica segnalano il rilevamento di una vulnerabilità di cross-site scripting (XSS) in SEOPress, un popolare plug-in di WordPress per l’ottimizzazione dei motori di ricerca (SEO), che consente ai webmaster di gestire i metadati SEO, le schede dei social media, le impostazioni di Google Ads e altre utili funzionalità. Attualmente questo plugin ha più di 100 mila installazioni attive, quindi questo rapporto dovrebbe essere preso sul serio.
Apparentemente, una delle funzionalità implementate da questo plugin è la possibilità di aggiungere un titolo e una descrizione SEO a un post, cosa che può essere eseguita salvando le modifiche a un post o utilizzando un endpoint API REST appena implementato. Questo endpoint è mal gestito, con conseguente vulnerabilità.
Tracciata come CVE-2021-34641, la vulnerabilità consente a qualsiasi utente autenticato (inclusi gli abbonati) di chiamare il percorso REST con un nonce valido e aggiornare il titolo e la descrizione SEO per qualsiasi post: “Qualsiasi utente autenticato può generare un nonce API REST valido utilizzando l’azione AJAX core rest-nonce di WordPress”, afferma il rapporto.
A seconda di ciò che un attore di minacce aggiorna nel titolo e nella descrizione, l’attacco consentirebbe una serie di azioni dannose, incluso il dirottamento del sito Web: “I difetti XSS possono portare a tutti i tipi di attività dannose, inclusa la creazione di nuovi account amministratore, webshell injection, reindirizzamento a siti Web dannosi e altri attacchi”.
Per motivi di sicurezza, gli utenti delle distribuzioni interessate sono incoraggiati ad eseguire l’aggiornamento alla v5.0.4, l’ultima versione di SEOPress.
Le falle di sicurezza nei plugin di WordPress rimangono un problema ricorrente per i proprietari di siti web. Un paio di settimane fa è stato pubblicato un rapporto che dettaglia la scoperta di sei vulnerabilità nelle versioni più recenti di Front File Manager, un plugin attivo su più di 2mila siti web.
Un altro rapporto pubblicato lo scorso marzo ha indicato il rilevamento di molteplici difetti in Elementor Plus Addons, inclusa una vulnerabilità critica che consentirebbe agli attori delle minacce di assumere il controllo dei siti Web in modo relativamente semplice. La comunità della sicurezza informatica ha registrato più tentativi di sfruttare questo difetto in scenari del mondo reale.