WordPress: trovata vulnerabilità nel plugin Ninja Forms
Dopo la vulnerabilità scoperta pochi giorni fa, ci è da poco arrivata la notizia sempre dal team Wordfence, di una nuova falla trovata dentro al noto Ninja Forms, popolare plugin per WordPress progettato per consentire ai siti web di gestire facilmente dei form di contatto personalizzati.
La vulnerabilità di Ninja Forms
La vulnerabilità consiste in pratica in una Object Injection tramite l’utilizzo di varie classi Ninja Forms, compreso un metodo che annulla la serializzazione del contenuto fornito dall’utente.
Il tutto per consentire agli aggressori di eseguire codice o eliminare file sui siti.
Anche WordPress ci ha messo una pezza
Questa problematica è stata completamente corretta con le versioni Ninja Forms 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 e 3.6.11 ed inoltre sembra che WordPress abbia eseguito un aggiornamento automatico forzato per questo plugin, quindi il vostro sito potrebbe già utilizzare una delle versioni con la patch.
Tuttavia, vi consigliamo di controllare che il vostro sito sia stato aggiornato ad una delle versioni corrette visto che a volte gli aggiornamenti automatici non sempre hanno esito positivo.
Approfondiamo la vulnerabilità di Ninja Forms
Una caratteristica di Ninja Forms è la possibilità di aggiungere tag ai moduli che compileranno automaticamente i valori da altre aree di WordPress come ID post e nomi utente registrati.
Sfortunatamente, proprio questa funzionalità presenta un difetto che consentiva di chiamare varie classi Ninja Forms che potevano essere utilizzate per un’ampia gamma di exploit mirati a siti WordPress.
Una delle tante funzioni incriminate è quella “Merge Tag” che esegue un “is_callable()”.
Quando una classe e un metodo vengono forniti come “Merge Tag”, la funzione viene chiamata e il codice eseguito. Questi tag possono essere forniti da utenti non autenticati a causa del modo in cui la classe gestisce i tag di unione, in questo caso chiamata NF_MergeTags_Other.
Wordfence fa sapere che tutto ciò potrebbe portare a catene di exploit dovute alle varie classi e funzioni contenute nel plugin Ninja Forms.
Una catena di exploit potenzialmente critica, in particolare, prevede l’uso della “NF_Admin_Processes_ImportForm” per ottenere l’esecuzione di codice in modalità remota tramite la deserializzazione, anche se sul sito dovrebbe essere installato un altro plugin o tema con un gadget utilizzabile.
Conclusioni
Rischiando di essere ripetitivi non ci stancheremo mai di sottolineare come i plugin dei vari CMS anche se molto comodi e veloci da usare possono, a volte, mettere a rischio il sito web su cui stiamo lavorando.
L’importante come diciamo sempre è essere consapevoli che installando un plugin mettiamo a rischio l’intero nostro sito web e se non ci proteggiamo in qualche modo possiamo anche perdere il lavoro che abbiamo fatto sul sito per anni.
Quindi come possiamo fare? Date un’occhiata a questi passaggi:
- avere sempre un servizio di Backup che vi consenta di ripristinare il sito o “tornare indietro”;
- essere consapevoli di cosa stiamo installando sul sito e quindi essere consapevoli delle dinamiche del web e della sua sicurezza;
- scegliere plugin affidabili;
- affidarvi a dei professionisti anche come consulenti esterni che vi aiutino e spieghino queste dinamiche.
Non ci resta che darvi appuntamento al prossimo articolo e nel frattempo noi continueremo a monitorare la situazione.
