La società di sicurezza argentina Core Security Technologies ha pubblicato nella giornata di ieri un advisory (CORE-2009-0515) riguardante alcune preoccupanti vulnerabilità della nota piattaforma di blogging WordPress. Il problema principale sembra essere un errato meccanismo di processing delle URL. Utenti regolarmente registrati, ma sprovvisti dei necessari privilegi, sarebbero in grado di accedere alle pagine di configurazione dei plugin e modificarne le impostazioni. Il plugin incriminato è “admin.php” che non controlla adeguatamente i permessi. Nel security bullettin sono elencati una serie di URL di esempio per dimostrare come i plugin possono essere manipolati.
Alcune vittime illustri del problema:
il modulo “WPIDS” (PHP-Intrusion Detection System): possibilità di riconfigurare le impostazioni disabilitando la stragrande maggioranza delle features arrivando al blocco di tutte le richieste;
il plugin “Related Ways To Take Action“: diversi scenari di attacchi cross-site scripting (XSS);
il plugin “WordPress Security Scanner“: accesso diretto alla dashboard.
il modulo “WPIDS” (PHP-Intrusion Detection System): possibilità di riconfigurare le impostazioni disabilitando la stragrande maggioranza delle features arrivando al blocco di tutte le richieste;
il plugin “Related Ways To Take Action“: diversi scenari di attacchi cross-site scripting (XSS);
il plugin “WordPress Security Scanner“: accesso diretto alla dashboard.
I ricercatori di CoreLabs hanno inoltre puntato nuovamente l’attenzione sulle modalità con cui WordPress discrimina i messaggi di errore per username e/o password errate. La distinzione effettuata infatti consente di ridurre la complessità di un eventuale attacco di tipo bruteforce ai danni del meccanismo di login. Per correggere il problema che affligge le versioni attuali di WordPress fino alla 2.8 e di WordPress MU (multi-user) fino alla 2.7.1, è possibile scaricare e installare WordPress 2.8.1.