Una vulnerabilità critica è stata individuata nel tema “Motors” per WordPress, che interessa le versioni 5.6.67 e precedenti. Questo difetto consente a un attaccante, senza bisogno di accedere né possedere alcun tipo di autorizzazione, di cambiare la password di qualsiasi utente su un sito web interessato, inclusi gli amministratori. L’exploit riuscito di questa vulnerabilità potrebbe conferire all’attaccante il pieno controllo sul sito, permettendogli di modificarne il contenuto, rubare informazioni sensibili o installare software malevoli.
| Prodotto | motors |
| Data | 2025-05-29 17:15:24 |
| Informazioni | Trending, Fix Available |
Riassunto tecnico
Il tema WordPress Motors, fino alla versione 5.6.67 inclusa, è vulnerabile a un’Escalatione di Privilegi senza Autenticazione (CVE-2025-4322), classificata come CWE-620 (Modifica di Password Non Verificata). La vulnerabilità risiede nel meccanismo di aggiornamento della password dal front-end, accessibile tramite endpoint come /loginregister/, /login/ o /register/.
Un attaccante non autenticato può creare una specifica richiesta HTTP POST indirizzata a uno di questi endpoint. La richiesta deve includere l’user_id dell’account bersaglio, un nuovo valore di password per il parametro stm_new_password e un parametro hash_check. Il codice del tema non valida correttamente né il parametro hash_check né l’identità e l’autorizzazione dell’utente che effettua la richiesta. Questo consente all’attaccante di fornire un valore arbitrario o facilmente eludibile per hash_check (es. %C0).
Poiché manca un’autenticazione robusta, una validazione del nonce o una verifica della proprietà legata all’user_id prima dell’elaborazione della modifica della password, il sistema aggiorna ciecamente la password per l’user_id specificato. Questo permette a un attaccante di reimpostare la password di qualsiasi utente, inclusi gli amministratori, ottenendo così accesso amministrativo non autorizzato e pieno controllo sull’installazione WordPress. L’attacco non richiede autenticazione preventiva e può essere difficile da rilevare senza un monitoraggio attivo dei log.
Raccomandazioni
- Aggiornare Immediatamente: Il passo più importante è aggiornare il tema Motors alla versione corretta e più recente (superiore alla 5.6.67) il prima possibile. Il vendor ha rilasciato una patch che risolve il problema.
- Virtual Patching (WAF): Se non fosse possibile aggiornare immediatamente, implementare regole di Web Application Firewall (WAF) per bloccare o monitorare le richieste POST malevole agli endpoint vulnerabili (es.
/loginregister/). In particolare, le regole dovrebbero mirare a richieste che includono i parametriuser_idestm_new_passwordsenza una corretta autenticazione di sessione o provenienti da fonti non attendibili.