Torniamo a parlare di siti sviluppati con il CMS WordPress, il più utilizzato al mondo, per parlare di quei plugin che consentono agli utenti di inserire i profili o le pagine social all’interno dei loro portali oppure di condividere sui propri profili il contenuto del sito che si sta visitando. Queste funzioni sono molto utili quando si devono sponsorizzare le proprie attività o semplicemente per invitare a farsi seguire sulle varie piattaforme. Per creare interfacce più accattivanti di visualizzazione dei profili social esiste una serie di strumenti installabili anche gratuitamente a partire dal backend di WordPress. Oggi parliamo di Social Login, utilizzato da oltre 30.000 utenti, che consentirebbe di loggarsi invece al sito utilizzando le credenziali delle varie piattaforme social.
Nei giorni scorsi però è stata scoperta una grave falla di sicurezza che, se sfruttata, consentirebbe ai malintenzionati di accedere a tutti gli account del sito, compreso quello admin, senza autenticarsi. Il punteggio dato da MITRE a questa vulnerabilità, chiamata CVE-2023-2982, è molto alto ed è pari a 9.8 su 10, segno che è necessario correre ai ripari, cosa che come vedremo può essere già fatta. Il problema dal quale scaturisce questa falla è legata alla chiave di cifratura per il login, che nelle versioni vulnerabili era iscritta direttamente nel codice ed utilizzandola possono entrare nel sito bypassando la autenticazione.
Le versioni del plugin Social Login da correggere sono la 7.6.4 e tutte le precedenti, mentre gli sviluppatori del plugin hanno rilasciato prima una patch rivelatasi inefficace e poi, con la 7.6.5 hanno finalmente rimediato al problema. Ovviamente anche in questo caso, come già scritto, è necessario che gli utenti del plugin installino questo aggiornamento al più presto possibile, perché questa falla di sicurezza potrebbe portare addirittura ad una perdita del controllo dell’intero sito.
Tutti coloro che utilizzano Social Login per WordPress dovranno adesso verificare se tale aggiornamento è già stato installato automaticamente oppure se si renderà necessaria un’azione diretta.
