13, Mag 2023
WordPress, un milione di siti a rischio: aggiornare subito questo plug-in
“Essential Addons for Elementor“, uno dei plug-in più popolari di WordPress, ha mostrato una vulnerabilità di sorpasso di autorizzazioni che potrebbe consentire ad attaccanti remoti di guadagnare un accesso amministratore al sito web su cui è installato il plugin. Utilizzato su oltre un milione di siti web, Essential Addons for Elementor è una libreria di 90 estensioni per il generatore di pagine Elementor.
La vulnerabilità è stata individuata da PatchStack lo scorso 8 maggio ed è tracciata con la sigla CVE-2023-32243. Più nello specifico si tratta di una vulnerabilità di privilege escalation non autenticati sulla funzionalità di rempostazione della password dei plugin e interessa le versioni da 5.4.0 a 5.7.1.
La falla, quando sfruttata, può permettere di reimpostare la password di qualsiasi utente di cui si conosca il nome: questo può avvenire anche reimpostando la password di un account sviluppatore così da accedere al sito con i suoi permessi. “La vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave e invece modifica direttamente la password dell’utente indicato” scrive PatchStack.
E’ immediatamente intuibile quali possano essere le conseguenze e la loro gravità: accesso non autorizzato ad informazioni private, defacing, compromissione o eliminazione di siti web, diffusione di malware e eventuali danni di immagine.
PatchStack ha pubblicato una serie di dettagli tecnici che spiegano in che modo sia possibile sfruttare la vulnerabilità, questo perché il plugin Essential Addons for Elementor è già stato aggiornato alla versione 5.7.2 che risolve il problema. Il consiglio, per tutti coloro i quali fanno uso di questo plugin, è quello di aggiornare immediatamente all’ultima versione per mettersi così al riparo da problemi e inconvenienti.
- 0
- By Roberto Ercolese