Il plug-in e-commerce di WordPress mette a rischio oltre 5.000 siti Web

TheCartPress, un plug-in di e-commerce utilizzato su migliaia di siti Web basati su WordPress, presenta diverse vulnerabilità ad alto rischio.

Al momento non ci sono correzioni disponibili per i difetti e, secondo il suo sviluppatore, il supporto per il plug-in sarà sospeso il 1 giugno.

Le vulnerabilità potrebbero consentire agli aggressori di "eseguire codice PHP arbitrario, divulgare dati sensibili ed eseguire attacchi Cross-Site Scripting [XSS] contro gli utenti delle installazioni di WordPress con il plug-in vulnerabile", hanno detto i ricercatori della società di sicurezza High-Tech Bridge in un mercoledì di consulenza.

Esistono fattori che limitano lo sfruttamento di alcuni dei difetti, ma presentano ancora un rischio significativo.

Ad esempio, lo sfruttamento della vulnerabilità che consente l'esecuzione del codice PHP richiede che l'utente malintenzionato disponga dei privilegi di amministratore sul sito Web WordPress. Tuttavia, un aggressore potrebbe anche ingannare il vero amministratore nell'eseguire l'exploit visitando una pagina dannosa, secondo i ricercatori dell'High-Tech Bridge. Questo è noto come attacco di falsificazione di richieste tra siti (CSRF).

Un'altra vulnerabilità consente agli autori di attacchi non autenticati di consultare gli ordini effettuati dagli utenti del sito di e-commerce che utilizza il plug-in.

Esistono anche più problemi XSS, sia nel pannello di amministrazione che nelle pagine accessibili all'utente. Questi difetti potrebbero consentire agli aggressori di indurre gli utenti del sito a eseguire azioni non autorizzate quando fanno clic su URL appositamente predisposti. Gli attacchi XSS in cui la vittima è l'amministratore del sito comportano ovviamente il rischio più elevato.

I ricercatori dell'High-Tech Bridge sostengono di aver tentato di informare lo sviluppatore del plug-in in merito ai difetti dall'8 aprile senza successo. Sottolineano che lo sviluppatore ha già annunciato che "il supporto per TheCartPress terminerà il 1 ° giugno 2015".

Poiché non è chiaro se i difetti verranno mai corretti, i ricercatori raccomandano di disabilitare o rimuovere il plug-in. Secondo le statistiche del repository ufficiale di plug-in WordPress, TheCartPress ha attualmente oltre 5.000 installazioni attive.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.