WP HTML Mail, një plugin WordPress i përdorur në mbi 20,000 sajte, është rrënuar nga një cenueshmëri mjaft serioze që mund të çojë në injektimin e kodit dhe shpërndarjen e emaileve phishing. Është një plugin që përdoret për të krijuar emaile të personalizuara, njoftime për format e kontaktit dhe mesazhe që platformat online i dërgojnë audiencës së tyre.
WP HTML Mail përdoret gjithashtu mjaft shpesh për shkak të integrimit me shtojca të tjera si WooCommerce, Ninja Forms dhe BuddyPress. Numri i faqeve që e përdorin mund të mos duket të jetë veçanërisht i madh, por duhet theksuar se shumë prej tyre kanë një audiencë mjaft të madhe, duke ndikuar kështu në shumë përdorues të rrjetit.
Ekipi i studiuesve të sigurisë së Wordfence zbuloi cenueshmërinë, duke treguar se si një aktor i kërcënimit mund ta shfrytëzonte atë për të modifikuar shabllonin e postës elektronike në mënyrë që të përmbajë të dhëna arbitrare dhe elementë të zgjedhur prej tij. Në këtë mënyrë është e mundur edhe dërgimi i emaileve phishing për përdoruesit e regjistruar të faqeve që përdorin këtë plugin.
Në detaje, problemi ka të bëjë me dy API që përdoren për të tërhequr dhe përditësuar cilësimet e shabllonit të postës elektronike. API-të në fjalë nuk mbrohen nga aksesi i paautorizuar, gjë që lejon edhe përdoruesit e paautentikuar të thërrasin dhe të ekzekutojnë funksione. Ky problem do të lejonte jo vetëm ekzekutimin e sulmeve të phishing, por edhe injektimin e JavaScript-it keqdashës në shabllonin e postës, i cili do të ekzekutohej sa herë që administratori i faqes hyn në redaktuesin e postës HTML, me rezultate potencialisht të rrezikshme si shtimi i llogarive të reja të administratorit, ridrejtimi i vizitorëve të faqes drejt burimeve me qëllim të keq, futja e dyerve të pasme në skedarët e temave ose kompromisi dhe kontrolli i plotë i sajtit.
E meta u zbulua nga Wordfence më 23 dhjetor 2021 dhe iu komunikua menjëherë zhvilluesit të plugin-it,i cili u përgjigj vetëm më 10 janar 2022. Plugin-i u përditësua më 13 janar në versionin 3.1, i cili zgjidh defektin. Natyrisht, nëse nuk keni aktivizuar përditësimet automatike të plugin-it, këshilla për përdoruesit e WP HTML Mail është të kontrollojnë se cili version është instaluar dhe, nëse është e nevojshme, të përditësojnë manualisht.
Discussion about this post