Plugin di WordPress vulnerabile ad attacchi di tipo CSRF

05/02/2020

code snippets CVE-2020–8417 Vulnerabilità wordpress

 

Durante l’attività di monitoraggio di fonti OSINT, il CERT-PA è venuto a conoscenza di una vulnerabilitaà di tipo CSRF (Cross-Site Request Forgery) sul plugin “Code Snippet” del popolare CMS WordPress.

Secondo quanto scoperto e pubblicato da un gruppo di ricercatori, potrebbero essere impattati circa 200.000 siti web creati con WordPress e che utilizzano l’estensione “Code Snippet“.

La vulnerabilità, considerata critica, è stata tracciata con CVE-2020–8417 e riguarda le versioni precedenti alla 2.14.0 (v2.13.3 e precedenti).

Descrizione della Vulnerabilità

Il plugin permette agli utenti di aggiungere frammenti di codice PHP per estendere le funzionalità di un sito Web basato su WordPress, senza aggiungere codice personalizzato al file Functions.php del loro template.

Code Snippet offre un menu di importazione che consente di inserire codice sul sito Web. Tuttavia, a causa dell’insufficiente convalida dell’intestazione HTTP Referer nello stesso, la funzione di importazione del plug-in non è protetta contro vulnerabilità di tipo CSRF.
Senza questa protezione, quindi, un utente malintenzionato potrebbe elaborare una richiesta ad hoc per indurre un amministratore a infettare il proprio sito e iniettare codice dannoso attraverso attacchi di tipo RCE (Remote Code Execution).

 

Sfruttando la vulnerabilità è infatti possibile caricare codice che, se opportunamente preparato, potrebbe indurre in errore l’utente admin facendolo accedere direttamente a siti web predisposti e fargli eseguire azioni arbitrarie.

Nella ricerca viene riprodotto un PoC (Proof of concept) sfruttando la possibilità di lasciare commenti per l’utente amministratore, tuttavia lo sfruttamento di questa vulnerabilità non richiede che il sito Web di destinazione abbia necessariamente abilitato i commenti.

Con le vulnerabilità legate all’esecuzione di codice in modalità remota, le possibilità di exploit sono infinite. Un utente malintenzionato potrebbe, ad esempio, creare un nuovo account amministrativo sul sito, esfiltrare informazioni sensibili, infettare gli utenti del sito e molto altro.

Conclusioni

Il CERT-PA raccomanda di aggiornare i siti web dove è presente il plugin “Code Snippets” portandolo alla versione v2.14.0 già rilasciata sulla piattaforma Github.