Wordfence ha pubblicato due vulnerabilità che colpiscono gli utenti del plugin Redux Framework, che più recentemente è diventato noto come “Libreria di modelli Gutenberg e framework Redux” su WordPress.org. Extendify ha acquistato il plug-in dal suo creatore, Dōvy Paukstys, nel novembre 2020, in un accordo che non è stato molto pubblicizzato. Attualmente è attivo su oltre 1 milione di siti WordPress.
Per gran parte della sua storia, Redux è stato conosciuto come un popolare framework di opzioni per temi e plugin. Nel 2020, Paukstys rilanciato il quadro con un focus sui modelli Gutenberg. Gli utenti possono ora sfogliare più di 1.000 modelli dall’interno dell’editor di blocchi.
È questa nuova funzionalità di navigazione dei modelli che è risultata vulnerabile nel recente rapporto sulla sicurezza di Wordfence, a causa di un controllo lassista delle autorizzazioni sugli endpoint dell’API REST WP che il plug-in utilizza per elaborare le richieste nella sua libreria di modelli. Il 3 agosto 2021, Wordfence ha rivelato una vulnerabilità ad alta gravità descritta come un “Autorizzazione errata che porta all’installazione arbitraria del plug-in e alla cancellazione successiva” e una gravità inferiore “Divulgazione di informazioni sensibili non autenticate” vulnerabilità ai proprietari del plugin. Il rapporto pubblicato questa settimana descrive la natura della minaccia:
Una vulnerabilità ha consentito agli utenti con autorizzazioni inferiori, come i contributori, di installare e attivare plug-in arbitrari ed eliminare qualsiasi post o pagina tramite l’API REST. Una seconda vulnerabilità ha consentito agli aggressori non autenticati di accedere a informazioni potenzialmente riservate sulla configurazione di un sito.
Extendify ha risposto immediatamente e ha spedito una versione con patch (4.2.13) di Redux Framework l’11 agosto 2021. Al momento della pubblicazione, oltre il 71% dei siti che utilizzano il plug-in Redux Framework è in esecuzione su versioni precedenti che rimangono vulnerabili. Si consiglia agli utenti di aggiornare all’ultima versione per ottenere la patch di sicurezza, soprattutto ora che Wordfence ha pubblicato un articolo che mostra come gli aggressori potrebbero potenzialmente sfruttare queste vulnerabilità.