Το plugin WordPress WP HTML Mail, που είναι εγκατεστημένο σε περισσότερους από 20.000 ιστότοπους, είναι ευάλωτο σε ένα ελάττωμα υψηλής σοβαρότητας, που μπορεί να οδηγήσει σε διανομή μηνυμάτων ηλεκτρονικού phishing.
Δείτε επίσης: Το security update WordPress 5.8.3 διορθώνει τέσσερις ευπάθειες
Το ‘WP HTML Mail’ είναι ένα plugin WordPress που χρησιμοποιείται για το σχεδιασμό προσαρμοσμένων email, ειδοποιήσεων φόρμας επικοινωνίας και γενικά προσαρμοσμένων μηνυμάτων, που στέλνουν οι διαδικτυακές πλατφόρμες στο κοινό τους.
Είναι συμβατό με WooCommerce, Ninja Forms, BuddyPress και άλλα. Αν και ο αριθμός των sites που το χρησιμοποιούν δεν είναι πολύ μεγάλος, πολλά από αυτά έχουν μεγάλο κοινό, επιτρέποντας στο ελάττωμα να επηρεάσει σημαντικό αριθμό χρηστών.
Σύμφωνα με μια αναφορά από την ομάδα Threat Intelligence του Wordfence, ένας hacker χωρίς έλεγχο ταυτότητας, θα μπορούσε να αξιοποιήσει το ελάττωμα που εντοπίστηκε ως “CVE-2022-0218” για να τροποποιήσει το πρότυπο email ώστε να περιέχει δεδομένα της επιλογής του.
Επιπλέον οι κακόβουλοι χρήστες, μπορούν να χρησιμοποιήσουν την ίδια ευπάθεια για να στείλουν μηνύματα ηλεκτρονικού ψαρέματος σε οποιονδήποτε είναι εγγεγραμμένος στους παραβιασμένους ιστότοπους.
Δείτε ακόμα: Phishing επιθέσεις: Ποιες μεγάλες εταιρείες μιμούνται οι απατεώνες για να ξεγελάσουν τα θύματα;
Το πρόβλημα έγκειται στην καταχώριση από την προσθήκη δύο διαδρομών REST-API που χρησιμοποιούνται για την ανάκτηση και την ενημέρωση των ρυθμίσεων προτύπων email.
Αυτά τα τελικά σημεία API δεν προστατεύονται επαρκώς από μη εξουσιοδοτημένη πρόσβαση, επομένως ακόμη και χρήστες χωρίς έλεγχο ταυτότητας μπορούν να εκτελέσουν τις λειτουργίες.
Εκτός από τη δυνατότητα επιθέσεων phishing, ένας εισβολέας θα μπορούσε επίσης να εισάγει κακόβουλο JavaScript στο πρότυπο αλληλογραφίας, το οποίο θα εκτελούνταν κάθε φορά που ο διαχειριστής του ιστότοπου είχε πρόσβαση στο πρόγραμμα επεξεργασίας αλληλογραφίας HTML.
Αυτό θα μπορούσε ενδεχομένως να ανοίξει το δρόμο για την προσθήκη νέων λογαριασμών διαχειριστή, να ανακατευθύνει τους επισκέπτες σε ιστότοπους ηλεκτρονικού ψαρέματος, να εισάγει backdoors και ακόμη και να καταλάβει ολοκληρωτικά τον ιστότοπο.
Δείτε επίσης: Νέο phishing scam στις ΗΠΑ: Δόλια QR codes στους μετρητές στάθμευσης
Το Wordfence ανακάλυψε και αποκάλυψε την ευπάθεια στον προγραμματιστή του WordPress plugin στις 23 Δεκεμβρίου 2021, αλλά έλαβε απάντηση στις 10 Ιανουαρίου 2022.
Η ενημέρωση ασφαλείας που αντιμετώπισε το θέμα ευπάθειας ήρθε στις 13 Ιανουαρίου 2022, με την κυκλοφορία της έκδοσης 3.1. Ως εκ τούτου, συνιστάται σε όλους τους ιδιοκτήτες και τους διαχειριστές ιστότοπων WordPress να επαληθεύσουν ότι εκτελούν την πιο πρόσφατη έκδοση της προσθήκης ‘WP HTML Mail’.
