Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il POC per il CVE-2024-5326 sul plugin PostX di WordPress è online

Pietro Melillo : 2 Luglio 2024 08:10

Il mondo della sicurezza informatica è in costante evoluzione e, purtroppo, le vulnerabilità nei software sono all’ordine del giorno. Recentemente, è stata scoperta una vulnerabilità critica (CVE-2024-5326) nel plugin “Post Grid Gutenberg Blocks and WordPress Blog Plugin – PostX” per WordPress, una delle piattaforme più popolari per la creazione di siti web. Questa vulnerabilità potrebbe essere sfruttata per modificare arbitrariamente opzioni del sito, mettendo a rischio la sicurezza dei siti che utilizzano questo plugin.

Descrizione della Vulnerabilità

Il plugin PostX, fino alla versione 4.1.2 inclusa, presenta una falla di sicurezza dovuta alla mancanza di un controllo delle capacità sull’azione ‘postx_presets_callback’. Questa mancanza di autorizzazione permette a utenti autenticati con accesso di livello Contributor o superiore di modificare arbitrariamente le opzioni del sito. Questo tipo di vulnerabilità consente, tra le altre cose, di abilitare la registrazione di nuovi utenti e di impostare il ruolo predefinito per i nuovi utenti come Amministratore, conferendo così poteri amministrativi a nuovi utenti registrati.

Implicazioni della Vulnerabilità

Le implicazioni di questa vulnerabilità sono gravi. Un attaccante con accesso di livello Contributor potrebbe:

  1. Abilitare la Registrazione degli Utenti: Questo potrebbe permettere a chiunque di registrarsi sul sito.
  2. Impostare il Ruolo di Default come Amministratore: Questo consente ai nuovi utenti di avere pieni diritti amministrativi, inclusa la possibilità di modificare, cancellare contenuti, installare plugin malevoli e persino bloccare l’accesso agli amministratori legittimi.
  3. Compromettere la Sicurezza del Sito: Una volta ottenuto l’accesso amministrativo, un attaccante potrebbe installare backdoor, raccogliere dati sensibili e lanciare ulteriori attacchi sia interni che esterni.

POC 

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La scoperta di una  (POC) per questa vulnerabilità evidenzia quanto sia facile per un attaccante sfruttare questa falla. Ecco un esempio di come potrebbe essere eseguita:

  1. Accesso come Contributor: L’attaccante si autentica sul sito come utente con privilegi di Contributor.
  2. Esecuzione dell’Azione Vulnerabile: Utilizzando uno strumento di invio di richieste HTTP, come cURL o un’estensione per browser come Postman, l’attaccante invia una richiesta alla funzione ‘postx_presets_callback’.
  3. Modifica delle Opzioni: L’attaccante modifica le impostazioni critiche, come l’abilitazione della registrazione degli utenti e l’impostazione del ruolo di default a “Administrator”.

Esempio di Richiesta Malevola:

POST /wp-admin/admin-ajax.php?action=postx_presets_callback
Content-Type: application/x-www-form-urlencoded
Cookie: wordpress_logged_in_

preset_option=new_user_registration&default_role=administrator

Mitigazione e Aggiornamenti

Per mitigare questa vulnerabilità, è essenziale che gli amministratori di siti WordPress che utilizzano il plugin PostX aggiornino immediatamente il plugin all’ultima versione disponibile, che dovrebbe contenere un fix per questo problema. Inoltre, si consiglia di:

  1. Limitare i Privilegi degli Utenti: Assicurarsi che solo gli utenti di cui si ha piena fiducia abbiano accesso ai ruoli con capacità di Contributor o superiori.
  2. Monitorare le Modifiche: Utilizzare plugin di sicurezza per monitorare e registrare le modifiche alle opzioni del sito.
  3. Applicare Patching e Aggiornamenti Regolari: Mantenere aggiornati tutti i plugin e il core di WordPress per prevenire lo sfruttamento di vulnerabilità conosciute.

Conclusione

La vulnerabilità CVE-2024-5326 nel plugin PostX rappresenta una minaccia significativa per i siti WordPress che ne fanno uso. È cruciale che gli amministratori di sistema prendano misure immediate per aggiornare il plugin e proteggere i loro siti da potenziali attacchi. La sicurezza informatica richiede vigilanza costante e aggiornamenti regolari per garantire che le piattaforme rimangano sicure e protette contro le nuove minacce.

Pietro Melillo
Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Lista degli articoli

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...