CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilități multiple ale unui plugin WordPress

Au fost identificate vulnerabilități în plugin WordPress folosit pentru încărcarea fotografiilor de profil, ce ar putea permite realizarea un atac de tip remote code execution (RCE).

Cercetătorii de la Wordfence au descoperit în luna mai o serie de vulnerabilități de securitate, cărora li s-a atribuit un scor CVSS de 9,8. Aceste vulnerabilități au făcut posibil ca un atacator să poată escalada privilegiile unui utilizator și să încarce coduri malițioase rezultând preluarea controlului unui site WordPress.

Pluginul în cauză este ProfilePress, denumit anterior WP User Avatar, care facilitează încărcarea imaginilor de profil ale utilizatorului WordPress. Tehnologia are peste 40.000 de instalări, potrivit Wordfence.

Aceste vulnerabilități sunt:

  • CVE-2021-34622, o vulnerabilitatea de escaladare a privilegiilor regăsită în funcționalitatea de actualizare a profilului de utilizator, unde atacatorul are nevoie de un cont pe un site vulnerabil pentru ca exploatarea să funcționeze.
  • CVE-2021-34623, o vulnerabilitatea de tip file upload în componenta de încărcare a imaginilor, unde programul de încărcare a imaginilor din ProfilePress a fost implementat în mod nesigur.
  • CVE-2021-34624, este o altă vulnerabilitate de tip file upload ce se regăsește în funcționalitatea custom fields a pluginului, care verifică dacă sunt fișierele dăunătoare, ar putea fi exploatată pentru a realiza un atac de tip RCE.

Aceste vulnerabilități de nivel critic au fost raportate pe data de 27 mai, iar o actualizare a fost lansată până pe data de 30 mai.

Se recomandă utilizatorilor să actualizeze imediat la cea mai recentă versiune disponibilă a WordPress, în prezent aceasta fiind versiunea 3.1.8. Versiunile vulnerabile includ 3.0 – 3.1.3.

Sursa:

https://portswigger.net/daily-swig/multiple-vulnerabilities-in-wordpress-plugin-pose-website-remote-code-execution-risk

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică