Hack news: 0-day RCE in WordPress Fancy Product Designer.


Questa settimana, l'analista di Wordfence Charles Sweethill ha scoperto una vulnerabilità RCE critica nel popolare plugin Fancy Product Designer. Questo plugin per WordPress, WooCommerce e Shopify è un configuratore di prodotti visivi ed è installato su oltre 17.000 siti.


Il ricercatore ha avviato un contatto con lo sviluppatore del plug-in lo stesso giorno, il quale gli ha risposto nelle 24 ore e a causa degli attacchi attivi che sfruttano questa vulnerabilità, ha deciso di divulgarla con dettagli minimi finché gli utenti non avranno il tempo di aggiornare la versione.


Utilizzando questa vulnerabilità in Fancy Product Designer, i malintenzionati possono aggirare i controlli integrati che bloccano il download di file dannosi e distribuire eseguibili PHP sui siti in cui è installato il plug-in.




In definitiva, ciò consentirà ai criminali di assumere completamente il controllo del sito web.

"Sebbene questa vulnerabilità sia già sfruttata, non è stata ancora risolta e la stiamo segnalando pubblicamente con dettagli minimi per avvisare la comunità di agire per proteggere i propri siti"

scrivono gli esperti. È stato riferito che gli attacchi mirati ai siti con un plug-in Fancy Product Designer sono iniziati più di due settimane fa, il 16 maggio 2021.


Per ora, gli esperti consigliano agli utenti di rimuovere il plug-in prima del rilascio della patch per evitare la totale compromissione del sito.


Fonte

https://www.wordfence.com/blog/2021/06/critical-0-day-in-fancy-product-designer-under-active-attack/