Oltre 50.000 siti WordPress sono attualmente a rischio a causa di una grave vulnerabilità rilevata in un popolare plugin WordPress noto come “Backup Migration”. Il plugin, sviluppato per aiutare gli amministratori ad automatizzare i backup del sito nello spazio di archiviazione locale o in un account Google Drive, ora risulta infetto da un bug di sicurezza classificato come CVE-2023-6553, valutato con un punteggio di gravità di 9,8/10.
Il team di esperti di sicurezza Nex Team, specializzato in bug bounty, ha segnalato il bug critico a Wordfence. La vulnerabilità impatta tutte le versioni del plugin fino a Backup Migration 1.3.6 inclusa 1.3.6, come riportato da BleepingComputer.
Gli attaccanti possono sfruttare questa falla per eseguire attacchi a bassa complessità senza l’interazione dell’utente, ottenendo il controllo dei siti web presi di mira attraverso RCE (Remote Control Execution, l’esecuzione di codice remoto), in particolare tramite l’iniezione di codice PHP nel file /includes/backup-heart.php
A seguito della segnalazione, Wordfence ha avvisato a sua volta BackupBliss, il team di sviluppo dietro il plugin Backup Migration, il quale ha rilasciato poche ore dopo già il 6 dicembre una patch correttiva nella versione 1.3.8 del plugin. Tuttavia, nonostante la disponibilità della patch, quasi 50.000 siti web WordPress risultano ancora non protetti, secondo le statistiche di download di WordPress.org.
Gli amministratori sono fortemente incoraggiati ad aggiornare immediatamente il plugin alla versione 1.3.8 per proteggere i loro siti da potenziali attacchi legati alla vulnerabilità CVE-2023-6553.
https://www.digitech.news/digital/14/12/2023/wordpress-plug-in-hacker/