Rafie Muhammad, analista della società di sicurezza WordPress Patchstack, ha scoperto due vulnerabilità critiche che colpiscono alcune versioni del plugin premium Jupiter X Core impiegato per la configurazione di siti Web WordPress e WooCommerce. I difetti consentirebbero il dirottamento degli account e il caricamento di file senza autenticazione.
Vulnerabilità e correzioni
L’analista ha segnalato i difetti allo sviluppatore del plugin Jupiter X Core (ArtBees) che ha affrontato i problemi all’inizio di questo mese.
La prima vulnerabilità identificata come CVE-2023-38388 consentirebbe il caricamento di file senza autenticazione portando all’esecuzione di codice arbitrario sui server.
Il problema di sicurezza ha ricevuto un punteggio di gravità pari a 9,0 e influisce su tutte le versioni di JupiterX Core a partire dalla 3.3.5. Lo sviluppatore ha risolto il problema nella versione 3.3.8 del plugin.
La seconda vulnerabilità, CVE-2023-38389, consentirebbe agli attaccanti non autenticati di assumere il controllo di qualsiasi account utente WordPress a condizione che conoscano l’indirizzo e-mail. Ha ricevuto un punteggio di gravità critico pari a 9,8 e ha un impatto su tutte le versioni di Jupiter X Core precedenti alla versione 3.3.8 compresa.
ArtBees ha risolto definitivamente i problemi il 9 agosto rilasciando la versione 3.4.3.
Pertanto, si consiglia a tutti gli utenti del plug-in JupiterX Core di eseguire l’aggiornamento alla versione 3.4.3 il prima possibile per mitigare i seri rischi posti dalle due vulnerabilità.
Per ulteriori dettagli sulle vulnerabilità critiche corrette nel plugin Jupiter X Core riferirsi al rapporto tecnico dell’analista Rafie Muhammad di Patchstack.