Purtroppo è il momento di tornare a parlare di vulnerabilità presenti sui CMS, che come sappiamo è l’acronimo di Content Management System e si tratta di piattaforme per la creazione semplificata di siti web. Spesso ripetiamo di come questi sistemi permettano da un lato la programmazione più rapida di pagine e l’inserimento di elementi aggiuntivi comodi per chi naviga, ma dal lato opposto consentono anche l’installazione di plugin esterni, quindi non ufficiali, che possono avere anche una innegabile qualità, ma altre volte possono anche nascondere qualche insidia.
In questo breve approfondimento parliamo di un plugin WordPress scaricabile però soltanto dal sito ufficiale dei suoi produttori, ovvero Slider Revolution, che per via di una falla di sicurezza sta mettendo a repentaglio la salute di una quantità molto elevata di portali. Le cifre stavolta sono molto alte, quindi è fondamentale prestare ancora più attenzione, poiché sembra che siano 4 milioni i siti sviluppati usando anche questo plugin. La prima volta in cui è stata segnalata la vulnerabilità risale all’inizio dell’agosto scorso, segnalazione alla quale il team di sviluppo ha risposto in modo molto rapido rilasciando la patch di sicurezza necessaria alla risoluzione.
Nello specifico, la falla di sicurezza riscontrata avrebbe consentito anche agli utenti di basso livello, come ad esempio Contributore, e superiori, di visualizzare il contenuto dei file arbitrari presenti sul server, che in taluni casi possono contenere informazioni sensibili, nuocendo quindi gravemente ai visitatori del portale. La vulnerabilità è stata riscontrata su tutte le versioni di Slider Revolution fino alla 6.7.36 con il nome di CVE-2025-9217 e con un punteggio di gravità non altissimo, ma comunque discreto, pari a 6.5 su 10. Nonostante questo basso punteggio è chiaro che con dei numeri di utilizzatori così alti anche la problematica con un minor grado di gravità possa diventare molto più importante e pericolosa, pertanto gli esperti di cybersicurezza hanno contattato, come anticipato, il team di Slider Revolution segnalando la vulnerabilità. Fortunatamente già al termine del mese di agosto era stata rilasciata una versione aggiornata, ovvero la 6.7.37 ri-aggiornata nuovamente a fine settembre alla 6.7.38, ovvero quella attualmente disponibile.
Non è ancora stato denunciato alcuno sfruttamento della falla di sicurezza CVE-2025-9217, tuttavia è importante che tutti coloro che utilizzano Slider Revolution provvedano all’installazione dell’ultima versione e che suggeriscano la stessa operazione a tutti coloro che sanno essere suoi utenti, soprattutto ora che è stata resa pubblica la problematica. Ovviamente con una platea così ampia sarà difficile che tutti provvedano, ma in questo caso potrebbe venire incontro alle potenziali vittime il fatto che sia molto difficile sfruttarla. Ciò non toglie comunque l’urgenza nell’effettuare l’aggiornamento, specie per coloro che non si dotano di sistemi di protezione dei loro backend, che sono la maggioranza. È giusto sottolineare che gli strumenti di monitoraggio e pulizia dei siti sviluppati con CMS come WordPress sono presenti sul mercato e non hanno costi esorbitanti, oltretutto è anche corretto ricordare che spesso sui propri siti web è presente tutto il proprio business, quindi vanno protetti.
Fonte: 1
