Bug in plugin WordPress, rischio hijacking

L’azienda Sucuri ha scoperto due gravi vulnerabilità in All In One SEO Pack, un plugin molto utilizzato dai siti basati su WordPress. Fortunatamente, gli sviluppatori hanno già rilasciato una nuova versione (2.1.6) che risolve il problema, quindi gli amministratori dovrebbero installare al più presto l’aggiornamento. In caso contrario, un malintenzionato potrebbe compiere un attacco sfruttando la tecnica denominata remote hijacking.

Durante l’audit del codice, i ricercatori di sicurezza hanno individuato due bug che permettono di mettere in atto una privilege escalation e un attacco XSS (cross site scripting). Sfruttando le vulnerabilità del plugin All In One SEO Pack, è possibile infatti iniettare codice JavaScript nel pannello di controllo, quindi eseguire diverse azioni, tra cui cambiare la password dell’admin e installare una backdoor sui siti. La falla consente di compiere un secondo tipo di attacco, meno pericoloso, ma altrettanto fastidioso. È sufficiente aprire un account normale, quindi senza privilegi di amministratore, ad esempio per scrivere un commento ad un post.

Sfruttando il bug del plugin, sarebbe possibile aggiungere o modificare alcuni parametri, come il titolo SEO, la descrizione o i meta tag. La conseguenza di questa azione è la diminuzione del ranking nelle SERP. In alcuni casi, ciò comporta anche danni economici, in quanto peggiorerebbe la posizione del sito tra i risultati di una ricerca.

A fine maggio, era stata segnalata un’altra vulnerabilità di WordPress. Se l’amministratore effettua l’accesso al sito usando una rete WiFi pubblica, qualcuno potrebbe intercettare il cookie associato al login, inviato in chiaro dal server al browser. In questo caso, la patch verrà rilasciata con la prossima release.