ATTENZIONE! Virus trovato nel plugin WordPress Total Donations

Secondo un recente post scritto dai ricercatori del team di Wordfence Threat Intelligence, ci sono serie preoccupazioni riguardo a un popolare plugin usato su siti WordPress. Il plug-in è “Total Donations” ed è in vendita sulla popolare piattaforma codecanyon e, secondo i ricercatori, più vulnerabilità minacciano i proprietari del sito che utilizzano il plug-in. Le vulnerabilità sono identificate come CVE-2019-6703 e sono pericolose proprio come riportato dal seguente rapporto sulle minacce:

Il controllo degli accessi errato in migla_ajax_functions.php nel plugin di Total Donations di Calmar Webmedia dalla versione 2.0.5 per WordPress consente agli aggressori non autenticati di aggiornare i valori delle opzioni arbitrarie di WordPress, portando al rilevamento del sito. Questi aggressori possono inviare richieste a wp-admin / admin-ajax.php per chiamare l’azione miglaA_update_me per modificare le opzioni arbitrarie sui siti interessati. Questo può essere utilizzato per abilitare la nuova registrazione utente e impostare il ruolo predefinito per i nuovi utenti su Amministratore.

Le vulnerabilità sono state scoperte dai ricercatori in seguito ad analisi che mostravano determinate richieste da parte degli aggressori. Il modo in cui le stringhe di query sono state inserite nei dati di accesso, come spiegato dai ricercatori, ha mostrato attività dannose. Secondo il post scritto da Wordfence, gli sviluppatori di Total Donations (Calmar Webmedia) sono stati contattati numerose volte dai ricercatori. Nonostante gli sforzi di Wordfence per avvisare gli sviluppatori, tutte le forme di comunicazione sono state completamente ignorate e il sito Web utilizzato da Calmar Webmedia sembra essere abbandonato.

Per questo motivo, i ricercatori di Wordfence credono che non ci sia speranza per una patch e che il plugin debba essere eliminato dagli amministratori del sito che lo impiegano. Il loro ragionamento si riferisce a come lo script “the-ajax-caller.php” eseguirà qualsiasi funzione AJAX passata, indipendentemente dal fatto che Total Donations sia attivo o meno. Inoltre, affermano che questa situazione può essere “utilizzata per chiamare qualsiasi funzione arbitraria, indipendentemente dal fatto che sia associata al plug-in Total Donations, ponendo ulteriori rischi per la sicurezza da solo”.

Wordfence ha dichiarato verso la fine del loro rapporto che continuerà a monitorare qualsiasi attività maligna nei giorni a seguire e manterrà gli utenti a conoscenza di eventuali nuovi sviluppi.