Il Gutenberg Editor è una delle funzionalità più innovative e popolari del WordPress, permettendo agli utenti di creare pagine web senza dover scrivere codice. Tuttavia, come molte altre funzionalità avanzate, anche il Gutenberg Editor non è immune alle vulnerabilità. In questo articolo, esploreremo le vulnerabilità più recenti nel Gutenberg Editor, i rischi associati e forniremo consigli pratici per proteggere il tuo sito web.
Vulnerabilità nel Gutenberg Template Library & Redux Framework
Una delle vulnerabilità più recenti riguarda il Gutenberg Template Library & Redux Framework plugin, utilizzato da oltre un milione di siti web. Due vulnerabilità sono state identificate:
- CVE-2021-38312: Questa vulnerabilità è classificata come alta (7,1 su 10 CVSS) e riguarda l’uso non autorizzato delle API REST di WordPress. I permessi degli utenti non vengono verificati correttamente, permettendo agli utenti con permessi inferiori (come contributor o author) di installare qualsiasi plugin dal repository di WordPress o di eliminare post utilizzando l’endpoint
redux/v1/templates/delete_saved_block. - CVE-2021-38314: Questa vulnerabilità è classificata come media (5,3 su 10 CVSS) e riguarda l’accesso non autenticato ad azioni AJAX deterministiche. Questo permette agli attaccanti di scoprire il
$support_hashdel sito, che può essere utilizzato per ottenere informazioni sensibili come la versione PHP, i plugin attivi e le loro versioni, e un hash MD5 non salato delle chiavi di autenticazione del sito.
Vulnerabilità XSS nel Gutenberg Plugin
Un’altra vulnerabilità riguarda il Gutenberg Plugin, versione <= 17.6.0, che è vulnerabile a Cross-Site Scripting (XSS). Questo tipo di attacco permette agli attaccanti di iniettare codice malizioso nel sito web, compromettendo la sicurezza e la privacy dei visitatori.
Vulnerabilità Stored Cross-Site Scripting nel Gutentor Plugin
Il Gutentor – Gutenberg Blocks – Page Builder for Gutenberg Editor plugin è vulnerabile a Stored Cross-Site Scripting (XSS) via il widget Countdown, in tutte le versioni fino a 3.3.9. Questo permette agli attaccanti autenticati con permessi di contributor o superiori di iniettare script arbitrari che eseguiranno quando un utente accede a una pagina infetta.
Vulnerabilità di Escalation di Privilegi nel Post Grid e Gutenberg Blocks Plugin
Il Post Grid e Gutenberg Blocks plugin è vulnerabile a escalation di privilegi in versioni 2.2.87 a 2.2.90. Questo permette agli attaccanti autenticati con permessi di subscriber o superiori di elevare i propri privilegi a quelli di amministratore, compromettendo completamente il sito.
Consigli per la Sicurezza
- Aggiornamento dei Plugin: Assicurati di aggiornare tutti i plugin, in particolare quelli che utilizzano il Gutenberg Editor, alle versioni più recenti. Questo può prevenire molte delle vulnerabilità menzionate sopra.
- Monitoraggio delle Vulnerabilità: Utilizza strumenti di monitoraggio come Wordfence per essere notificato immediatamente in caso di vulnerabilità aggiunte o aggiornate nel database.
- Utilizzo di Firewall Personalizzato: Se utilizzi Wordfence Premium, Wordfence Care o Wordfence Response, assicurati di ricevere le regole di firewall personalizzate per proteggere il tuo sito da attacchi.
- Verifica delle Versioni: Verifica regolarmente le versioni dei plugin e del core di WordPress per assicurarti che siano aggiornate.
- Utilizzo di Plugin Sicuri: Scegli plugin sviluppati da sviluppatori affidabili e con una buona reputazione per ridurre il rischio di vulnerabilità.
Il Gutenberg Editor è una funzionalità potente e versatile, ma come tutte le funzionalità avanzate, richiede attenzione e cura per essere utilizzata in modo sicuro. Aggiornare regolarmente i plugin, monitorare le vulnerabilità e utilizzare strumenti di sicurezza possono aiutare a proteggere il tuo sito web da attacchi. Ricorda sempre di scegliere plugin sviluppati da sviluppatori affidabili e di utilizzare strumenti di sicurezza per monitorare le vulnerabilità.
Fonte: https://cybersecuritynews.com/wordpress-gutenberg-editor-vulnerability
