WordPress uno dei CMS più usati al mondo può essere attaccato da un hacker sfruttando un bug ancora non corretto da parte del produttore. Scoperto dai ricercatori di RIPS Technologies GmbH, la vulnerabilità di ” authenticated arbitrary file deletion ” è stata segnalata 7 mesi fa al team di sicurezza di WordPress ma rimane senza patch e riguarda tutte le versioni di WordPress, incluso l’attuale 4.9.6.
La vulnerabilità risiede in una delle funzioni principali di WordPress che viene eseguita in background quando un utente elimina in modo permanente la miniatura di un’immagine caricata.
I ricercatori hanno evidenziato come la funzione di eliminazione dell’anteprima accetta input utente non criticato che, se moderato, potrebbe consentire agli utenti con privilegi limitati di almeno un autore di eliminare qualsiasi file dal web hosting, che altrimenti dovrebbe essere consentito solo agli amministratori del server o del sito.
Utilizzando questo bug che richiede di avere privilegi di autore (editor), un malintenzionato può eliminare dal server tutti i file critici come “.htaccess”, che di solito contengono configurazioni legate alla sicurezza, nel tentativo di disabilitare la protezione.
Oltre a questo, potrebbe venir cancellato ” wp-config.php“file – uno dei file di configurazione più importanti nell’installazione di WordPress che contiene informazioni sulla connessione al database – potrebbe forzare l’intero sito Web alla schermata di installazione, consentendo all’autore dell’attacco di riconfigurare il sito Web dal browser e assumere completamente il controllo.
Esiste una patch temporanea da installare nella cartella themes/function.php
add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );
function rips_unlink_tempfix( $data ) {
if( isset($data['thumb']) ) {
$data['thumb'] = basename($data['thumb']);
}
return $data;
}
