Come sempre, riportiamo le notizie relative alle vulnerabilità più recenti e dagli impatti potenzialmente più importanti dovute a vulnerabilità riscontrate su plugin del CMS WordPress. Ci troviamo nuovamente a ripetere, tuttavia, che nella lunghissima lista di strumenti aggiuntivi a disposizione degli sviluppatori dei siti è sempre possibile incontrare strumenti malevoli o che, essendo poco seguiti dai loro creatori, possono essere veicolo di gravi pericoli per i siti a causa di falle di sicurezza non aggiustate.
In questo specifico caso parliamo di un plugin chiamato Modern Events Calendar, utilizzato dagli sviluppatori di siti per creare dei calendari dinamici nei quali inserire eventi ed informazioni su di essi in modo più semplice e più moderno. La vulnerabilità riscontrata, contrassegnata dalla sigla CVE-2024-5441 e con un indice di gravità molto alto, pari a 8,8, consentirebbe agli utenti autenticati l’upload di file sui server del sito che potrebbero poi portare anche all’esecuzione di codice da remoto. Il problema è che tramite questo plugin gli utenti admin possono fare in modo che anche gli utenti non autenticati possano inserire eventi, cosa che può quindi portare anche allo sfruttamento della falla da parte di tali utenti. Le versioni che presentavano questa falla di sicurezza sono quelle rilasciate fino alla 7.11.0, ma con la versione 7.12.0 il problema sembra essere stato risolto.
Come sempre, tuttavia, la questione più complicata è al momento quella legata all’effettiva installazione dell’aggiornamento da parte degli utilizzatori di Modern Events Calendar, visto che è pratica comune, su WordPress quella di installare plugin per poi ignorare tutte le necessarie operazioni di aggiornamento e di informazione sull’effettivo stato di salute di ciò che si utilizza. Tale attività si rende ancor più necessaria adesso, visto che la vulnerabilità è stata annunciata pubblicamente e sicuramente gli attori malevoli della rete stanno già provando a sfruttarla laddove possibile cercando siti con versioni non coperte da patch. Dato che si parla di un bacino d’utenza di ben 150.000 siti è chiaro quanto possano diventare vaste le dimensioni di una violazione che può portare anche alla perdita di controllo dei siti web. I dati in possesso di Wordfence, noto portale specializzato nella sicurezza di WordPress, segnalano ad esempio 159 tentativi di intrusione soltanto nelle prime 24 ore dall’annuncio della vulnerabilità. A questo punto sembra chiaro come gli utilizzatori di Modern Events Calendar debbano correre ad aggiornare il loro plugin con la versione più recente.
Fonte: 1