Siti WordPress aperti ad attacchi code injection tramite bug di e-commerce Welcart

Una vulnerabilità di sicurezza nel plug-in Welcart e-Commerce apre i siti Web all’iniezione di codice. Ciò può portare all’installazione di skimmer di pagamento, all’arresto anomalo del sito o al recupero di informazioni tramite SQL injection, è quanto scoperto dai ricercatori.

Welcart e-Commerce è un plug-in gratuito per WordPress che ha più di 20.000 installazioni e, secondo WordPress, gode di una quota di mercato superiore in Giappone. Consente ai proprietari di siti di aggiungere acquisti online ai loro siti in modo facile, con opzioni per vendere merchandising fisico, beni digitali e abbonamenti, con 16 diverse opzioni di pagamento.

Il bug ad alta gravità (CVE è in sospeso) è una vulnerabilità PHP di iniezione di oggetti, che esiste nel modo in cui la piattaforma gestisce i cookie, secondo Wordfence.

“Utilizza i propri cookie, separati da quelli utilizzati da WordPress, per tenere traccia delle sessioni degli utenti”, hanno spiegato i ricercatori in un post di giovedì sulla vulnerabilità. “Ogni richiesta al sito fa sì che usces_cookie venga analizzato dalla funzione get_cookie. Questa funzione ha utilizzato usces_unserialize per decodificare il contenuto di questo cookie.”

Guardando più da vicino, i ricercatori hanno scoperto che è possibile inviare una richiesta con il parametro usces_cookie impostato su una stringa appositamente predisposta che, una volta non serializzata, inietterebbe un oggetto PHP.

PHP object injection è una vulnerabilità a livello di applicazione che apre la strada a code injection, SQL injection, path traversal e application denial-of-service.

“La vulnerabilità si verifica quando l’input fornito dall’utente non viene adeguatamente disinfettato prima di essere passato alla funzione PHP unserialize ()”, secondo le buone pratiche OSWAP. “Poiché PHP consente la serializzazione degli oggetti, gli aggressori potrebbero passare stringhe serializzate ad hoc a una chiamata vulnerabile unserialize (), riuscendo in un’iniezione arbitraria di oggetti PHP nell’ambito dell’applicazione.”

Le iniezioni di oggetti PHP possono essere spesso utilizzate in una catena di exploit più ampia che consente a un utente malintenzionato di utilizzare quelli che sono noti come metodi magici, hanno aggiunto i ricercatori, che consentirebbero l’esecuzione di codice in modalità remota e il controllo completo del sito. Fortunatamente, non è questo il caso.

“Questo plugin includeva una libreria, tcpdf, che contiene un metodo magic __distruct che sarebbe potuto essere utilizzato per creare una catena POP in altre circostanze”, secondo Wordfence. “Una catena POP completa non era presente perché il plug-in non serializzava il cookie prima che la classe TCPDF fosse caricata e definita, quindi non è stato possibile iniettare un oggetto con questa classe.”

L’autore del plugin, Collne Inc., ha corretto il problema nella versione 1.9.36 di Welcart, rilasciata a ottobre. Gli amministratori del sito dovrebbero eseguire l’upgrade il prima possibile.

 Problemi di plug-in

I plugin di WordPress continuano a fornire una comoda via di attacco per i criminali informatici.

A ottobre, due vulnerabilità ad alta gravità sono state rivelate in Post Grid, un plug-in per WordPress con oltre 60.000 installazioni, che apre la porta a acquisizioni di siti. E a settembre, è stato riscontrato che un difetto di alta gravità nel plug-in Iscritti e newsletter e-mail di Icegram ha interessato più di 100.000 siti Web WordPress.

In precedenza, ad agosto, un plugin progettato per aggiungere quiz e sondaggi ai siti Web di WordPress ha corretto due vulnerabilità critiche. I difetti potrebbero essere sfruttati da aggressori remoti e non autenticati per lanciare vari attacchi, inclusa la piena presa di controllo dei siti Web vulnerabili. Sempre ad agosto, Newsletter, un plugin per WordPress con oltre 300.000 installazioni, si è stato scoperto avere un paio di vulnerabilità che potrebbero portare all’esecuzione di codice e persino al controllo del sito.

 Inoltre, i  ricercatori a luglio hanno avvertito di una vulnerabilità critica in un plug-in di WordPress chiamato Comments – wpDiscuz, installato su oltre 70.000 siti Web. Il difetto ha fornito agli aggressori non autenticati la possibilità di caricare file arbitrari (inclusi i file PHP) e infine eseguire codice remoto sui server di siti Web vulnerabili.