In uno degli ultimi aggiornamenti abbiamo parlato della nuovissima versione di WordPress rilasciata appena qualche giorno fa, in data 15 marzo e di tutte le introduzioni e migliorie apportate al CMS più utilizzato al mondo. Torniamo tuttavia a trattare l’argomento della sicurezza di questo strumento per la creazione facilitata di siti web, che come ormai sappiamo comprende tutta una serie di criticità logiche legate a risorse esogene come i plugin, che vengono installati per velocizzare ed automatizzare alcune procedure o per aggiungere elementi attrattivi senza dover utilizzare codice.
Nell’approfondimento di oggi parliamo di una vulnerabilità che è stata riscontrata su un plugin molto utilizzato, come si evince dal titolo dell’articolo, poiché a rischio sembrano essere oltre 100.000 siti web. Il plugin in questione è noto col nome di SureTriggers, sebbene sia stato cambiato poco tempo fa in Ottokit, e serve fondamentalmente per automatizzare al massimo le connessioni tra portale e strumenti di lavoro come applicazioni esterne, ad esempio i Fogli di Google o un CRM. Questa spiegazione è assai riduttiva, poiché SureTriggers riesce ad automatizzare anche azioni come l’invio di una email o la pubblicazione di contenuti sul sito dopo aver inserito informazioni su qualche argomento. Tutto questo migliora sicuramente l’esperienza a coloro che lo utilizzano per ottimizzare i loro flussi di lavoro, pertanto è un vantaggio molto più per gli sviluppatori ed i proprietari di siti che non per gli utenti.
Nei giorni scorsi, tuttavia, è stata diramata la segnalazione della presenza di una falla di sicurezza che consentirebbe, se sfruttata, di creare utenti admin senza autenticazione. C’è una buona notizia, che diremo più avanti nell’articolo, ma è necessario sapere che a questa vulnerabilità è stato dato il codice CVE-2025-3102, un punteggio di criticità alto, ovvero di 8.1 su 10 e che è presente in tutte le versioni del plugin fino alla 1.0.78. L’azienda produttrice del plugin ha rilasciato, dopo la segnalazione, un nuovo aggiornamento e siamo adesso arrivati alla versione 1.0.82, totalmente libera da errori a quanto pare. La buona notizia preannunciata poco fa è che per essere sfruttata efficacemente è fortemente necessario che il plugin sia stato installato ma non configurato, poiché si tratta di una falla che risiede nell’impostazione delle chiavi API. Visti gli alti numeri di utenti, tuttavia, è molto probabile che sia molto ampia anche la platea di coloro che lo hanno installato senza configurarlo e che quindi sono attualmente potenziali vittime di una perdita totale del controllo del sito, che è solo uno degli effetti indesiderati che si possono avere. Altri modi di sfruttare la vulnerabilità sono ovviamente la creazione di backdoor, la modifica di contenuti, l’inserimento di spam e quindi il redirect delle pagine del portale verso siti malevoli.
Sembra peraltro che, nella sua complessità, ci siano già stati casi di sfruttamento attivo della vulnerabilità, e ciò significa che è assai urgente procedere all’aggiornamento di SureTriggers, a maggior ragione adesso che è stato reso noto il tutto. Come sempre, anche in questo caso ricordiamo l’importanza di mantenere sempre il controllo sul proprio backend WordPress, così come di qualsiasi altro CMS ovviamente. Questo aiuterà a prevenire problemi o, in alternativa ad evitarli, magari affiancando quest’attività di controllo periodico, ma costante, a soluzioni di sicurezza ad hoc che possono intervenire in caso di problemi più gravi.
Fonte: 1
