Allarme WordPress: falla del plugin tagDiv, migliaia di siti violati

Una nuova e preoccupante vulnerabilità di WordPress è stata individuata di recente e, secondo gli esperti, interessa migliaia e migliaia di siti.

Questo exploit interessa il plugin tagDiv Composer, molto diffuso in quanto imprescindibile rispetto a due temi WordPress alquanto diffusi, ovvero Newspaper e Newsmag. Questi, disponibili su alcuni market che offrono contenuti per il noto CMS, contano complessivamente più di 155.000 download.

La vulnerabilità, classificata con il codice CVE-2023-3169, riguarda un difetto del cross-site scripting (XSS). Questa falla consente agli hacker di iniettare codice dannoso delle pagine dei siti interessati. La scoperta è stata attribuita al ricercatore Truoc Phan e, secondo gli standard di settore, è considerata con un livello di gravità pari a 7,1 su una scala di 10.

Va comunque considerato che tale exploit è stato parzialmente eliminato con la versione 4.1 di tagDiv Composer mentre, con la 4.2 dello stesso plugin, è stato eliminato completamente.

Il plugin tagDiv Composer sfruttato nel contesto delle campagne Balada

Nonostante il suddetto aggiornamento, va detto come ancora molti dei siti potenzialmente vittima non sono ancora stati aggiornati.

Secondo un post scritto dal ricercatore di sicurezza Denis Sinegubko, gli autori delle minacce stanno sfruttando la vulnerabilità per iniettare script Web che reindirizzano i visitatori a vari siti scam. I reindirizzamenti portano a siti che promuovono dei fantomatici supporti tecnici, presunte vincite a lotterie e truffe con notifiche push.

Sucuri, la società di sicurezza per cui lavora Sinegubko, monitora questo tipo campagna malware dal 2017 e ha denominato la stessa Balada. Gli esperti stimano che negli ultimi sei anni questa operazione sia stata coinvolta nella compromissione di più di 1 milione di siti.

Il mese scorso, Sucuri ha rilevato sintomi di Balada in più di 17.000 siti, quasi il doppio del numero di rilevazioni rispetto al mese precedente. Oltre 9.000 delle nuove infezioni sono state il risultato di iniezioni rese possibili attraverso lo sfruttamento della vulnerabilità CVE-2023-3169.