Apriamo una nuova panoramica sulle vulnerabilità che in queste settimane hanno colpito diversi plugin e temi del noto CMS WordPress, ovvero il più utilizzato al mondo. In questo approfondimento parleremo in ordine cronologico delle ultimissime segnalazioni e sulle modalità di patching dei tre strumenti coinvolti.
Iniziamo col caso di TheGem, un tema WordPress molto utilizzato, per il quale a inizio maggio è stata segnalata per la prima volta la presenza di errori di programmazione che consentono di caricare arbitrariamente dei file sui backend dei siti anche da remoto. Il problema ulteriore riguarda chi può effettuare queste operazioni, poiché la falla di sicurezza può essere sfruttata anche ad utenti di tipo Sottoscrittore, quindi di livello abbastanza basso, oltre quelli con privilegi maggiori ovviamente. La prima delle due vulnerabilità, contrassegnata dal codice CVE-2025-4339, è quella che consente, appunto, agli utenti con bassi privilegi, di aggiornare opzioni del tema TheGem, mentre la seconda, più grave, è la CVE-2025-4317, che ha un punteggio di 8,8 su 10, quindi molto alto, e consente le attività già spiegate di caricamento file ed esecuzione di codice da remoto. Queste due problematiche, sommate insieme, possono far perdere il controllo anche degli interi portali se non viene applicata una patch, visto che riguardano tutte le versioni del tema fino alla 5.10.3, ma è già disponibile l’aggiornamento alla 5.10.3.1 che rimette a posto il tutto. I problemi rimasti adesso sono fondamentalmente due, ovvero la corsa all’installazione della patch di sicurezza, che coinvolge un grandissimo numero di siti web (circa 82.000) ed il fatto che questo tema è a pagamento, quindi dovrebbe garantire maggiore attenzione verso gli utenti.
Passiamo al secondo elemento coinvolto in questo approfondimento, ovvero Uncanny Automator, una nostra vecchia conoscenza visto che pochi mesi fa parlammo di un’altra vulnerabilità sempre ai suoi danni. In questo caso i siti a rischio sarebbero oltre 50.000 stando ai dati della repository WordPress, e ad essere a repentaglio anche in questo caso è il controllo stesso dei siti, visto che lo sfruttamento della vulnerabilità riscontrata consentirebbe anche ai soli utenti di livello Sottoscrittore di cancellare arbitrariamente i file, compreso il famoso wp-config.php che come sappiamo contiene tutto ciò che fa funzionare il database ed al quale è quindi legata anche la salute del sito. La falla di sicurezza, nel caso di Uncanny Automator, è stata marcata dal codice CVE-2025-3623 col punteggio di 8,1 su 10, quindi anche qui di grado elevato. Il problema è stato rilevato su tutte le versioni del plugin a partire dalla 6.4.0.1 e precedenti, ma la buona notizia è che in tempi piuttosto ristretti è stata rilasciata la versione contenente la patch, la numero 6.4.0.2, che va installata quanto prima. Visto il numero alto di siti WordPress che utilizzano questo plugin è importante, ripetiamo, installare la nuova versione e diffondere il più possibile la notizia a coloro che sicuramente lo utilizzano.
Terminiamo la panoramica con l’ultimo aggiornamento, quello sul plugin UiPress Lite, che è fondamentalmente uno dei tanti builder facilitati per siti sviluppati sul noto CMS. Anche in questo caso, il rischio che corrono gli utenti che usano questo strumento è l’esecuzione arbitraria di codice da remoto e quindi l’attuazione di qualsiasi pratica dannosa come il furto di dati, i redirect malevoli, le backdoor e quant’altro, che possono impattare sia sul controllo del sito stesso che sulla sua “fama” nei motori di ricerca, penalizzandola ovviamente. In questo caso, a differenza dei primi due, un grosso problema è stato costituito dal timing, che a dirla tutta è stato piuttosto flessibile visto che la segnalazione è avvenuta a fine marzo e la patch, come vedremo, è stata rilasciata solo pochi giorni fa. Ad ogni modo, questa vulnerabilità, contrassegnata dal codice CVE-2025-3053 ed alla quale è stato assegnato un punteggio di 8,8 su 10, è stata riscontrata su tutte le versioni fino alla 3.5.07 e consentirebbe l’esecuzione di codice remoto anche agli utenti col grado di privilegio Sottoscrittore. Il problema alla base di tutto sarebbe l’accettazione degli input senza alcun controllo, che quindi come abbiamo detto può portare a tutta quella serie di problemi sia per l’utente che lato server. Per ovviare al problema, ad inizio maggio è uscita la versione 3.5.08 contenente la patch di sicurezza ed è necessario procedere (e far procedere altri utenti) all’installazione della stessa, poiché ad essere a rischio sono oltre 10.000 siti, stando ai dati WordPress.
In conclusione invitiamo tutti coloro che usano i vari CMS disponibili sul mercato ad avere, come sempre, più attenzione possibile alla salute dei propri sistemi e degli strumenti esterni che vengono utilizzati, poiché abbiamo visto più volte quanti rischi si possono correre se si trascurano questi fattori. Oltretutto esiste anche la funzionalità che consente l’installazione automatica degli aggiornamenti dei plugin, che può dare insidie ma che sicuramente è meno azzardata di una gestione casuale e disordinata.
