Metallo

Vulnerabilità SQLi in WP Automatic: rischio di controllo totale del sito – aggiornamento urgente richiesto

Fonti

Fonte: Jetpack Blog – https://jetpack.com/blog/

Approfondimento

Una vulnerabilità critica è stata scoperta nel plugin WordPress WP‑Automatic. Si tratta di un errore di iniezione SQL (SQLi) che consente a un aggressore di eseguire query SQL arbitrariamente sul database del sito, ottenendo così privilegi di amministratore, caricando file dannosi e, in alcuni casi, prendendo il controllo completo del sito.

Vulnerabilità SQLi in WP Automatic: rischio di controllo totale del sito – aggiornamento urgente richiesto

Dati principali

Caratteristica Valore
Versioni WP‑Automatic vulnerabili < 3.9.2.0
ID CVE CVE‑2024‑27956
ID WPVDB https://wpscan.com/vulnerability/53a51e79‑a216‑4ca3‑ac2d‑57098fd2ebb5/
CVSSv3.1 9.8

Possibili Conseguenze

Se un sito WordPress è compromesso, l’aggressore può:

  • Creare account amministratori non autorizzati.
  • Caricare file malevoli, come web shell o backdoor.
  • Modificare o nascondere file di sistema per mantenere l’accesso.
  • Installare plugin o temi dannosi che facilitano ulteriori attacchi.

Opinione

Il presente articolo si limita a riportare i fatti verificabili e non esprime giudizi di valore. Le opinioni di esperti o di comunità di sicurezza possono variare, ma non sono incluse in questo testo.

Analisi Critica (dei Fatti)

La vulnerabilità è stata divulgata pubblicamente il 13 marzo 2024 da PatchStack. Da quel momento sono stati registrati 5 576 488 tentativi di attacco, con picco il 31 marzo. L’analisi tecnica mostra che l’iniezione SQL avviene tramite la gestione dell’autenticazione utente in un file del plugin. L’aggressore può quindi eseguire query arbitrariamente, creare utenti amministratori e caricare file dannosi.

Relazioni (con altri fatti)

Il CVE‑2024‑27956 è stato inserito nella base dati WPScan e nella WPVDB, indicando che la comunità di sicurezza ha già documentato la vulnerabilità. L’uso di Jetpack Scan e Jetpack WAF è stato suggerito come misura di mitigazione, in linea con le pratiche di sicurezza consigliate per WordPress.

Contesto (oggettivo)

WP‑Automatic è un plugin popolare per la gestione automatica di contenuti e pubblicazioni su WordPress. Le versioni precedenti a 3.9.2.0 non includono la correzione di un errore di iniezione SQL che permette l’esecuzione di comandi SQL non autorizzati. La vulnerabilità è classificata come alta gravità (CVSS 9.8) e richiede un aggiornamento immediato del plugin.

Domande Frequenti

  • Qual è la versione di WP‑Automatic vulnerabile? Le versioni inferiori a 3.9.2.0 sono colpite.
  • Che tipo di attacco è possibile eseguire? L’attacco consiste in un’iniezione SQL che consente di creare utenti amministratori, caricare file malevoli e mantenere l’accesso.
  • Come posso proteggere il mio sito? Aggiornare il plugin, rivedere gli account utente, utilizzare strumenti di monitoraggio come Jetpack Scan e mantenere backup regolari.
  • Quali sono i segni di compromissione? Presenza di un utente amministratore con nome che inizia con “xtw.”, rinominazione del file csv.php, o file con hash SHA1 specifici.
  • Quando è stato scoperto il problema? La vulnerabilità è stata divulgata pubblicamente il 13 marzo 2024.

Related Posts

Commento all'articolo