Un difetto di sicurezza di elevata gravità riscontrato in un plug-in di WordPress con oltre 8.000 installazioni attive può consentire agli aggressori autenticati di ripristinare e cancellare i siti Web vulnerabili.
Il plugin in questione, noto come Hashthemes Demo Importer , è progettato per aiutare gli amministratori a importare demo per temi WordPress con un singolo, senza occuparsi dell’installazione di dipendenze.
Il bug di sicurezza consentirebbe agli aggressori autenticati di ripristinare i siti WordPress ed eliminare quasi tutti i contenuti del database e i media caricati.
Ram Gall, tecnico del controllo qualità di Wordfence e analista delle minacce, ha spiegato che il plug-in non è riuscito a eseguire correttamente i controlli nonce, facendo trapelare il nonce AJAX sulla dashboard di amministrazione dei siti vulnerabili per tutti gli utenti, “compresi gli utenti con privilegi limitati come gli abbonati”.
Come diretta conseguenza di questo bug, gli utenti registrati a livello di abbonato potrebbero abusarne per cancellare tutto il contenuto sui siti che eseguono versioni senza patch di Hashthemes Demo Importer.
“Mentre la maggior parte delle vulnerabilità può avere effetti distruttivi, sarebbe impossibile recuperare un sito in cui questa vulnerabilità è stata sfruttata a meno che non sia stato eseguito il backup”, ha aggiunto Gall.
Qualsiasi utente connesso potrebbe attivare la funzione AJAX hdi_install_demo e fornire un parametro di ripristino impostato su true, facendo sì che il plugin esegua la sua funzione database_reset. Questa funzione ha cancellato il database troncando ogni tabella del database sul sito ad eccezione di wp_options, wp_users e wp_usermeta. Una volta cancellato il database, il plug-in eseguiva la sua funzione clear_uploads, che eliminava ogni file e cartella in wp-content/uploads. — Ariete Gallo
Abbonato, uno dei tipi di utenti che potrebbero cancellare i siti vulnerabili, è un ruolo utente predefinito di WordPress (proprio come Collaboratore, Autore, Editor e Amministratore) spesso abilitato sui siti WordPress per consentire agli utenti registrati di scrivere commenti nella sezione dei commenti del sito web.
In genere sarebbero in grado di modificare il proprio profilo solo utilizzando la dashboard del sito senza accedere ad altre pagine di amministrazione.
Mentre Wordfence ha segnalato la vulnerabilità del bug al team di sviluppo del plugin il 25 agosto 2021, gli sviluppatori non hanno risposto ai messaggi di divulgazione per quasi un mese.
Ciò ha spinto Wordfence a contattare il team dei plugin di WordPress il 20 settembre, il che ha portato alla rimozione del plugin lo stesso giorno e al rilascio di una patch che risolve il bug quattro giorni dopo, il 24 settembre.
Tuttavia, lo sviluppatore di Hashthemes Demo Importer non ha menzionato la versione 1.1.2 o l’aggiornamento nella pagina del registro delle modifiche del plug-in nonostante il rilascio di un aggiornamento di sicurezza.