I plugin di WordPress forniscono spesso un “punto di ingresso” che viene sfruttato dai cybercriminali per accedere ai siti web. I ricercatori di Patchstack ha scoperto l’ennesima vulnerabilità, stavolta nel plugin Gravity Forms con oltre un milione di installazioni attive. Per evitare rischi è consigliato l’uso della versione più aggiornata (l’ultima è 2.7.6 del 10 maggio).
Furto di dati con Gravity Forms
Gravity Forms permette di creare moduli da aggiungere alle pagine web, ad esempio per effettuare i pagamenti, la registrazione o l’upload dei file. Il plugin viene utilizzato anche da grandi aziende e organizzazioni, tra cui Airbnb, ESPN, Nike, NASA e Unicef. La vulnerabilità, scoperta dai ricercatori di Patchstack e indicata con CVE-2023-28782, può essere sfruttata per iniettare oggetti PHP nelle versioni precedenti alla 2.7.4.
Il problema è presente nella funzione get_field_input
del plugin che gestisce gli input nei campi del modulo. Il valore della variabile non viene verificato prima del passaggio ad un’altra funzione, consentendo ad un utente non autenticato di iniettare un oggetto PHP.
Secondo i ricercatori è sufficiente sfruttare la vulnerabilità con altri plugin o temi di WordPress per eseguire codice, cancellare file e rubare dati sensibili. Il problema è stato segnalato allo sviluppatore il 27 marzo. La patch è stata inclusa nella versione 2.7.4 dell’11 aprile.
Rimanendo in tema, Automattic ha iniziato a forzare l’installazione della nuova versione del plugin Jetpack, dopo aver scoperto una vulnerabilità che potrebbe essere sfruttata per manipolare qualsiasi file di WordPress. Fortunatamente non sono stati individuati exploit attivi.