Vulnerabilità ZeroDay per due plugin WordPress

Un team di ricercatori della società operante in ambito cyber “Plugin Vulnerabilities” si è imbattuto in alcune vulnerabilità ZeroDay riguardanti due plugin WordPress di Facebook.

Le stesse, potrebbero consentire ad un malintenzionato di alterare le opzioni di un sito WordPress.

Le vulnerabilità erano contenute all’interno dei plugin “Facebook for WooCommerce”e“Messenger Customer Chat”, entrambi con migliaia di installazioni attive. Il primo plugin, infatti, ne conta attualmente oltre 200.000, mentre il secondo oltre 20.000.

Nello specifico, per quel che riguarda il plugin “Facebook per WooCommerce”, i ricercatori hanno sottolineato come questo non sia stato adeguatamente testato per le ultime tre versioni di WordPress. Dunque, il rischio sarebbe potuto consistere nella presenza di vari problemi a livello di compatibilità con le ultime versioni della piattaforma in oggetto.

A tal proposito, la società ha cominciato ad analizzare il plugin attraverso la creazione di una vulnerabilità cross-site request forgery (CSRF), riscontrando la mancanza di “nonce” per prevenire la CSRF con la funzione AJAX ajax_update_fb_option (), e condividendo poi il “Proof of concept” nel loro report di ricerca.

Successivamente, la stessa tipologia di analisi è stata applicata per il secondo plugin, “Messenger Customer Chat”, il quale presentava una problematica simile.