I plugin sono il vero “punto debole” di WordPress. I ricercatori di Wordfence hanno scoperto due vulnerabilità in POST SMTP che possono essere sfruttate per prendere il controllo del sito. Gli esperti di Sucuri hanno invece individuato una vulnerabilità in Popup Builder che viene sfruttata da Balada Injector.
Aggiornare sempre i plugin
POST SMTP è uno dei plugin più utilizzati per l’invio delle email (oltre 300.000 installazioni). La prima vulnerabilità (CVE-2023-6875) consente ad un malintenzionato di aggirare la richiesta di autenticazione ed eseguire varie attività, tra cui il reset della password di amministratore. Dopo aver ottenuto il controllo del sito può installare malware, eliminare i contenuti ed effettuare in reindirizzamento verso siti infetti.
La seconda vulnerabilità (CVE-2023-7027) consente di iniettare script nelle pagine del sito che verranno automaticamente eseguiti alla visualizzazione della pagina. In seguito alla segnalazione, lo sviluppatore del plugin ha incluso le patch nella versione 2.8.8.
Gli esperti di Securi hanno rilevato che oltre 6.700 siti usano una versione vulnerabile di Popup Builder. Il plugin, installato oltre 200.000 volte, permette di creare pop-up a scopi informativi, funzionali e pubblicitari. Il bug è stato sfruttato da Balata Injector per inserire codice JavaScript nelle tabelle del database.
Il codice è una backdoor che viene eseguita quando il plugin mostra un pop-up. Successivamente è possibile eseguire codice PHP, caricare file e comunicare con il server remoto, dal quale vengono scaricati altri payload. La vulnerabilità è stata risolta con la versione 4.2.3. Il consiglio è aggiornare subito i plugin per evitare di perdere il controllo dei siti.