Studio JooMa comunicato di sicurezza del 13 gennaio 2022
Un difetto del plugin “WP HTML Mail” mette gli utenti di 20.000 siti a rischio di phishing
Comunicato Dello Studio Jooma riguardo la messa in sicurezza del CMS WordPress.
Il plugin WordPress “WP HTML Mail”, installato in oltre 20.000 Siti Web, è vulnerabile ad un difetto di elevata gravità che può portare all'iniezione di codice e alla conseguente distribuzione di e-mail di phishing di massa.
"WP HTML Mail" è un plug-in utilizzato per la progettazione di e-mail personalizzate, notifiche di moduli di contatto e messaggi generalmente personalizzati, che le piattaforme online inviano al proprio pubblico.
Il plugin è compatibile con WooCommerce, Ninja Forms, BuddyPress ed altri.
Sebbene il numero di siti che lo utilizzano non sia elevato, molti di questi hanno un vasto pubblico, consentendo al bug di interessare un numero significativo di utenti di Internet.
Secondo un rapporto del team Threat Intelligence di Wordfence, un visitatore non autenticato potrebbe sfruttare il bug (identificato come "CVE-2022-0218") per modificare il modello di posta elettronica in modo che contenga dati arbitrari a scelta dell'attaccante.
Inoltre sarebbe possibile utilizzare la stessa vulnerabilità per inviare e-mail di phishing a chiunque sia registrato sui siti compromessi.
Endpoint API non protetti
Il problema risiede nella registrazione del plug-in di due route REST-API utilizzate per recuperare e aggiornare le impostazioni del modello di posta elettronica.
Questi endpoint API non sono adeguatamente protetti dall'accesso non autorizzato, quindi anche gli utenti non autenticati possono chiamare ed eseguire le funzioni, come spiega in dettaglio Wordfence nella sua relazione.
Oltre alla possibilità di attacchi di phishing, un intruso potrebbe anche iniettare JavaScript dannoso nel modello di posta, che verrebbe eseguito ogni volta che l'amministratore del sito accede all'editor di posta HTML.
Ciò potrebbe potenzialmente aprire la strada all'aggiunta di nuovi account “amministratore”, reindirizzare i visitatori del sito a siti di phishing, inserire backdoor nei file del tema e persino completare l'acquisizione del sito.
Divulgazione e correzione
Wordfence ha scoperto e comunicato la vulnerabilità allo sviluppatore del plug-in il 23 dicembre 2021, ma ha ricevuto una risposta solo il 10 gennaio 2022.
L'aggiornamento per la sicurezza che ha risolto la vulnerabilità è arrivato il 13 gennaio 2022, con il rilascio della versione 3.1.
Pertanto, si consiglia a tutti i proprietari ed amministratori di siti WordPress di verificare che stiano eseguendo l'ultima versione del plug-in “WP-HTML”.
La sicurezza del tuo sito Web non è un optional, per qualsiasi tua esigenza contatta con fiducia i professionisti dello Studio JooMa, saranno in grado di proporti la giusta soluzione e, soprattutto… non pungono!
