Recentment s’ha corregit una vulnerabilitat qualificada com a Alta en un complement d’optimització de Google Fonts per a WordPress, que permet als atacants suprimir directoris sencers i penjar scripts maliciosos.
OMGF | Connector de WordPress compatible amb GDPR/DSGVO
El connector, OMGF | Complint amb GDPR/DSGVO, Google Fonts més ràpids. Easy., optimitza l’ús de Google Fonts per reduir l’impacte de la velocitat de la pàgina i també compleix GDPR, cosa que el fa valuós per als usuaris de la Unió Europea que volen implementar Google Fonts.
Captura de pantalla de la qualificació de vulnerabilitat de Wordfence
Vulnerabilitat
La vulnerabilitat és especialment preocupant perquè permet atacants no autenticats. “No autenticat” vol dir que un atacant no necessita estar registrat al lloc web ni tenir cap nivell de credencials.
La vulnerabilitat es descriu com l’habilitació de la supressió de directoris sense autenticació i la càrrega de càrregues útils de Cross-Site Scripting (XSS).
Cross-Site Scripting (XSS) és un tipus d’atac on es penja un script maliciós a un servidor de llocs web, que després es pot utilitzar per atacar de forma remota els navegadors de qualsevol visitant. Això pot donar com a resultat l’accés a les galetes d’un usuari o a la informació de sessió, permetent a l’atacant assumir el nivell de privilegis d’aquest usuari que visita el lloc.
La causa de la vulnerabilitat, tal com l’han identificat els investigadors de Wordfence, és la manca d’una comprovació de capacitat: una funció de seguretat que verifica si un usuari té accés a una funció específica d’un connector, en aquest cas, una funció a nivell d’administrador.
Un funcionari Pàgina de desenvolupadors de WordPress per a fabricants de complements diu això sobre la comprovació de capacitat:
“Les capacitats d’usuari són els permisos específics que assigneu a cada usuari o a un rol d’usuari.
Per exemple, els administradors tenen la capacitat “manage_options” que els permet veure, editar i desar opcions per al lloc web. Els editors, en canvi, no tenen aquesta capacitat que els impedirà interactuar amb les opcions.
A continuació, aquestes capacitats es comproven en diversos punts de l’Administrador. En funció de les capacitats assignades a un rol; es poden afegir o eliminar menús, funcionalitats i altres aspectes de l’experiència de WordPress.
A mesura que creeu un connector, assegureu-vos d’executar el vostre codi només quan l’usuari actual tingui les capacitats necessàries.
Wordfence descriu la causa de la vulnerabilitat:
“… és vulnerable a la modificació no autoritzada de dades i a les seqüències d’ordres entre llocs emmagatzemats a causa d’una comprovació de capacitat que falta a la funció update_settings() connectada mitjançant admin_init en totes les versions fins a la 5.7.9 inclosa”.
Wordfence també afirma que les actualitzacions anteriors van intentar tancar la bretxa de seguretat, però considera que la versió 5.7.10 és la versió més segura del connector.
Llegiu l’advertència de vulnerabilitat de Wordfence:
Imatge destacada de Shutterstock/Nikulina Tatiana
