Wordfence ha annunciato una grave vulnerabilità di Remote Code Execution (RCE) nel plugin Bit File Manager per WordPress, con oltre 20.000 installazioni attive. La vulnerabilità, causata da una Race Condition, consente agli attaccanti di eseguire codice in remoto senza autenticazione, compromettendo l’intero sito. Il problema riguarda le versioni dalla 6.0 alla 6.5.5 del plugin e ha un punteggio CVSS di 8.1 (Alto).
La scoperta è stata segnalata il 24 luglio 2024 dal ricercatore TANG Cheuk Hei (siunam) attraverso il programma Wordfence Bug Bounty, ricevendo un compenso di $358.00. Wordfence ha fornito protezione immediata ai propri utenti Premium, Care e Response l’8 agosto 2024, mentre gli utenti della versione gratuita riceveranno la protezione il 9 settembre 2024.
Il team di sviluppo di Bit Apps ha prontamente rilasciato la versione 6.5.6 il 21 agosto 2024, che corregge questa vulnerabilità critica. Wordfence esorta tutti gli utenti ad aggiornare immediatamente il plugin per proteggere i loro siti web.
Dettagli della Vulnerabilità
La vulnerabilità nel plugin Bit File Manager si trova nella funzione checkSyntax, che permette agli attaccanti di caricare file PHP in una directory pubblicamente accessibile, sfruttando una Race Condition. Ciò consente di eseguire codice dannoso sul server, aprendo la porta a potenziali compromessi completi del sito.
Linea Temporale della Scoperta
- 24 luglio 2024: Segnalazione della vulnerabilità a Wordfence.
- 8 agosto 2024: Conferma della vulnerabilità da parte di Wordfence.
- 9 agosto 2024: Protezione per gli utenti Premium, Care e Response di Wordfence.
- 14 agosto 2024: Invio dei dettagli completi della vulnerabilità ai sviluppatori di Bit Apps.
- 21 agosto 2024: Rilascio della versione patchata 6.5.6 del plugin.
- 9 settembre 2024: Protezione per gli utenti della versione gratuita di Wordfence.
Wordfence sottolinea l’importanza di mantenere attiva l’opzione “Disabilita l’esecuzione del codice nella directory di upload” per bloccare accessi non autorizzati ai file temporanei.
Description: Bit File Manager 6.0 – 6.5.5 – Unauthenticated Remote Code Execution via Race Condition
Affected Plugin: Bit File Manager – 100% Free & Open Source File Manager and Code Editor for WordPress
Plugin Slug: file-manager
Affected Versions: 6.0 – 6.5.5
CVE ID: CVE-2024-7627
CVSS Score: 8.1 (High)
CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Researcher/s: TANG Cheuk Hei (siunam)
Fully Patched Version: 6.5.6
Bounty Award: $358.00
