Due importanti vulnerabilità stanno mettendo a rischio l’attività del tema Houzez e del relativo plugin, ampiamente utilizzati in tutto il mondo sulla piattaforma WordPress.
Se sfruttate, potrebbero consentire ai criminal hacker di installare una backdoor sul sistema target.
Le vulnerabilità sono state identificate come critiche e i proprietari di siti Web che utilizzano questi strumenti sono invitati ad aggiornare con urgenza.
Indice degli argomenti
Vulnerabilità nel plugin Houzez per WordPress: dettagli
I bug sono stati segnalati dal ricercatore di sicurezza di Patchstack, Dave Jong che ha prontamente allertato il team di sviluppo del prodotto (ThemeForest). Il primo dei due difetti, riguardante il tema principale di Houzez, è stato tracciato come CVE-2023-26540 con un punteggio di gravità pari a 9.8 (in una scala da 1 a 10).
La seconda vulnerabilità si trova nel plugin (relativo all’ecosistema del tema) denominato Houzez Login Register: è stata censita come CVE-2023-26009 e anche in questo caso viene attribuito un punteggio di 9.8, corrispondente appunto al livello di gravità “critica”.
Entrambi i difetti producono il rischio, se sfruttati attivamente, di escalation dei privilegi. La ricerca ha inoltre evidenziato che questi difetti si stanno tuttora attivamente sfruttando, nel vasto mondo delle installazioni WordPress.
Questi attacchi vengono eseguiti dall’indirizzo IP 103.167.93.138 e, aggiunge il ricercatore che li ha scoperti, “sono stati osservati in numero significativo”.
Cosa impariamo
Va detto che entrambe le vulnerabilità hanno già una versione di aggiornamento che ne corregge l’errore di sviluppo. Infatti il tema è stato corretto con la versione 2.7.2 (le precedenti fino alla 2.7.1 sono vulnerabili), da novembre 2022. Mentre il plugin presenta l’aggiornamento alla versione 2.6.4 (le precedenti fino alla 2.6.3 sono vulnerabili).
Quello che invece si sta constatando è che un grande numero di amministratori non hanno provveduto, nonostante siano trascorsi diversi mesi, all’applicazione degli aggiornamenti sulle proprie installazioni WordPress.
Tramite lo sfruttamento appena descritto, gli attaccanti sono stati in grado, secondo l’analisi effettuata da Patchstack, di installare una backdoor sul sistema vulnerabile e abilitare così alcune funzioni quali l’esecuzione di comandi da remoto, l’inserimento di annunci sul sito web e il reindirizzamento del traffico verso altri siti dannosi.
È quindi di necessaria urgenza l’applicazione degli aggiornamenti a tutti i siti Web che attualmente utilizzano il tema e il plugin Houzez per la propria attività nel campo immobiliare online. Dalle statistiche rese note da ThemeForest, Houzez ha fatto registrare finora oltre 35.000 download.
