Wordfence ha pubblicato un advisory su una vulnerabilit\u00e0 di tipo Unauthenticated Arbitrary File Upload<\/strong> nel plugin WordPress WPvivid Backup & Migration<\/strong> (slug: L\u2019advisory sottolinea che l\u2019impatto \u201ccritico\u201d riguarda in particolare chi ha generato una chiave<\/strong> nelle impostazioni del plugin per permettere a un altro sito di inviare un backup<\/strong> verso quel sito (funzionalit\u00e0 \u201creceive a backup from another site\u201d). Questa opzione \u00e8 disabilitata di default<\/strong> e la scadenza della chiave<\/strong> pu\u00f2 essere impostata al massimo a 24 ore<\/strong>.<\/p>\n\n<\/div>\n\n\n\n Nelle versioni vulnerabili, la catena descritta da Wordfence combina pi\u00f9 fattori: gestione errata di un passaggio di decrittazione (RSA\/AES) e assenza di sanitizzazione del path del file scritto su disco. Il risultato \u00e8 che un attaccante pu\u00f2 arrivare a caricare un file (anche PHP<\/strong>) in una directory pubblicamente raggiungibile e poi richiamarlo via HTTP per ottenere RCE.<\/p>\n\n\n\n Il punto d\u2019ingresso si trova nella funzione Secondo l\u2019analisi tecnica, il plugin usa la chiave generata nelle impostazioni per decrittare via RSA un valore A questo si somma un secondo aspetto: i nomi file contenuti nel payload decrittato vengono accettati senza sanitizzazione del percorso<\/strong>. Questo abilita directory traversal<\/strong>, cio\u00e8 la possibilit\u00e0 di \u201cuscire\u201d dalla directory protetta dei backup e finire a scrivere file altrove (ad esempio in percorsi web-accessible). Non essendoci (nelle versioni vulnerabili) controlli su estensione\/tipo file, diventa possibile caricare un file PHP malevolo e poi eseguirlo.<\/p>\n\n\n\n Come in molte vulnerabilit\u00e0 di arbitrary file upload<\/strong>, l\u2019esito pratico pu\u00f2 essere la compromissione completa tramite webshell e tecniche correlate (persistenza, esfiltrazione, pivoting su account\/admin, ecc.).<\/p>\n\n<\/div>\n\n\n\n Il team di WPvivid ha rilasciato una correzione nella versione 0.9.124<\/strong>. Dall\u2019advisory emergono due interventi principali: (1) un controllo esplicito sul valore della chiave dopo la decrittazione RSA e (2) un controllo sulle estensioni dei file consentiti in upload nella logica di ricezione.<\/p>\n\n\n\n Il fix aggiunge un controllo: se la chiave risultante \u00e8 wpvivid-backuprestore<\/code>), che conta oltre 800.000 installazioni attive<\/strong>. In pratica, in certe condizioni un attaccante non autenticato<\/strong> pu\u00f2 caricare file a piacere sul sito e ottenere Remote Code Execution (RCE)<\/strong>, cio\u00e8 eseguire codice sul server: lo scenario classico che porta a webshell e compromissione completa del sito.<\/p>\n\n\n\nDettaglio importante sull\u2019impatto reale<\/h4>\n\n\n
Riepilogo vulnerability (Wordfence Intelligence)<\/h2>\n\n\n\n
\n\n
wpvivid_action=send_to_site<\/code><\/strong><\/li>\n\n\nPerch\u00e9 \u00e8 pericolosa: upload arbitrario + directory traversal + PHP eseguibile<\/h2>\n\n\n\n
send_to_site()<\/code> della classe WPvivid_Send_to_site<\/code>, che gestisce la ricezione di un backup da un altro sito quando \u00e8 presente la chiave generata nelle impostazioni. Il flusso include class-wpvivid-crypt.php<\/code>, inizializza logging e poi legge $_POST['wpvivid_content']<\/code> (base64) per decrittare un payload e procedere con la gestione del file.<\/p>\n\n\n\nIl cuore del problema: la chiave \u201cfalse\u201d che diventa prevedibile<\/h3>\n\n\n\n
$key<\/code>. Se la decrittazione fallisce, $key<\/code> diventa false<\/code>. Qui entra il bug: l\u2019esecuzione non viene interrotta<\/strong> e quel false<\/code> viene passato all\u2019inizializzazione del cifrario AES\/Rijndael (tramite phpseclib). La libreria tratta quel false<\/code> come una stringa di byte nulli<\/strong>, rendendo la \u201cchiave\u201d di cifratura di fatto prevedibile<\/strong>. Un attaccante pu\u00f2 quindi costruire dati cifrati usando questa chiave a byte nulli.<\/p>\n\n\n\nImpatto tipico<\/h4>\n\n\n
Dettagli tecnici: i punti chiave citati da Wordfence<\/h2>\n\n\n\n
\n\n
send_to_site()<\/code> in WPvivid_Send_to_site<\/code>.<\/li>\n\n\nwpvivid_content<\/code> (base64) che viene decrittato lato server.<\/li>\n\n\nopenssl_private_decrypt()<\/code> (menzionato nel riepilogo) non riesce, il valore pu\u00f2 diventare false<\/code> e non viene gestito correttamente.<\/li>\n\n\nfalse<\/code>: interpretata come sequenza di byte nulli (chiave prevedibile).<\/li>\n\n\nwpvivid_action=send_to_site<\/code>.<\/li>\n\n<\/ul>\n\n\n\nLa patch in WPvivid 0.9.124: cosa \u00e8 stato corretto<\/h2>\n\n\n\n
1) Check su
$key<\/code> in decrypt_message()<\/code><\/h3>\n\n\n\nfalse<\/code> o vuota, la funzione termina restituendo false<\/code> invece di proseguire e inizializzare il cifrario con una chiave prevedibile.<\/p>\n\n\n\n