CVE-2024-1071 Vulnerabilità del plugin WordPress
Una significativa vulnerabilità di sicurezza è stata rivelata in Ultimate Member, un plugin WordPress ampiamente utilizzato che vanta oltre 200.000 installazioni attive. Identificato come CVE-2024-1071, questo difetto ha ottenuto un punteggio CVSS elevato di 9,8 su 10 ed è stato scoperto e segnalato dal ricercatore di sicurezza Christiaan Swiers. Come dettagliato in un recente avviso di Wordfence, una società di sicurezza WordPress, il plugin (versioni da 2.1.3 a 2.8.2) è suscettibile all'SQL Injection attraverso il parametro 'sorting' a causa di un'escape inadeguata sui parametri forniti dall'utente e di una preparazione insufficiente su la query SQL esistente.
Questa scappatoia potrebbe essere sfruttata da aggressori non autenticati per inserire ulteriori query SQL nelle query presenti, portando all'estrazione di dati sensibili dal database. È fondamentale notare che questo problema influisce sugli utenti che hanno selezionato l'opzione "Abilita tabella personalizzata per usermeta" nelle impostazioni del plug-in.
Dopo la divulgazione responsabile del 30 gennaio 2024, gli sviluppatori del plugin hanno prontamente risolto la vulnerabilità rilasciando la versione 2.8.3 il 19 febbraio. Si consiglia vivamente agli utenti di aggiornare tempestivamente i propri plugin alla versione più recente per ridurre al minimo i potenziali rischi, soprattutto considerando che Wordfence ha già contrastato un attacco che ha tentato di sfruttare la falla nelle ultime 24 ore.
È interessante notare che una vulnerabilità simile (CVE-2023-3460, punteggio CVSS: 9,8) nello stesso plugin è stata attivamente abusata dagli autori delle minacce nel luglio 2023. Lo sfruttamento di questa falla ha permesso loro di creare utenti amministratori non autorizzati e assumere il controllo dei siti vulnerabili.
Cos'è il sistema di classificazione CVE unificato per le vulnerabilità?
Il Common Vulnerability Scoring System (CVSS) è un sistema di punteggio standardizzato utilizzato per valutare e comunicare la gravità delle vulnerabilità nei sistemi software. Fornisce un quadro comune per organizzazioni e individui per valutare l’impatto delle vulnerabilità della sicurezza. Il CVSS è progettato per essere indipendente dal fornitore ed è ampiamente adottato nella comunità della sicurezza informatica.
Il CVSS assegna un punteggio numerico alle vulnerabilità in base a vari fattori, tra cui la sfruttabilità della vulnerabilità, l'impatto sulla riservatezza, l'integrità e la disponibilità del sistema interessato e se la vulnerabilità richiede l'interazione dell'utente per lo sfruttamento. I punteggi vanno da 0 a 10, con punteggi più alti che indicano vulnerabilità più gravi.
Il CVSS ha attraversato diverse versioni e l'ultima versione, per quanto ne so, a gennaio 2022 è CVSSv3.1. Fornisce una valutazione più raffinata e accurata delle vulnerabilità rispetto alle versioni precedenti.
Il sistema "Common Vulnerabilities and Exposures" (CVE), d'altro canto, è un'iniziativa separata che assegna identificatori univoci, chiamati ID CVE, alle vulnerabilità divulgate pubblicamente. Il sistema CVE non fornisce da solo punteggi di gravità. Viene invece spesso utilizzato insieme al CVSS per identificare e valutare in modo univoco le vulnerabilità.
