Torniamo purtroppo ad occuparci di problemi di sicurezza legati a plugin di WordPress, un CMS che come si sa è utilizzatissimo in tutto il mondo ma che può portare alcuni problemi di sicurezza se non seguito con la dovuta attenzione. Ripetiamo, se ce ne fosse ancora bisogno, che le vulnerabilità sono un’evenienza del tutto frequente nel mondo IT, ma l’importante è utilizzare sempre un approccio attivo nella gestione di sistemi e piattaforme, poiché seguendo con cura tutto ciò che ci riguarda riusciremmo anche a limitare al massimo i problemi.
Passando al caso in esame in questo breve approfondimento, oggi parliamo di un plugin gratuito chiamato Modular DS, uno strumento aggiuntivo prodotto esternamente da WordPress che serve a coloro che lo utilizzano per la gestione di multipli portali sviluppati con il noto CMS in un unico luogo, automatizzando aggiornamenti, monitoraggi oltre a varie altre funzionalità che mirano a rendere più facile la vita di chi ha più di un sito. Per questo plugin è stata riscontrata una vulnerabilità che, se sfruttata, consente di effettuare la cosiddetta “privilege escalation”, ovvero l’attribuzione di privilegi da amministratore anche ad utenti che non sono autenticati al portale. Il caso è particolarmente grave, poiché alla vulnerabilità, contrassegnata dal codice CVE-2026-23550, è stato dato un punteggio di criticità pari a 10 su 10, facendo anche capire quale sia necessario agire con urgenza.
La falla di sicurezza è presente in tutte le versioni fino alle 2.5.1 inclusa ed è stata segnalata in data 14 gennaio scorso, ma quel che è peggio è che Modular DS è installato su oltre 40.000 siti e, nonostante la patch di sicurezza già rilasciata, sembra anche che siano già iniziati i primi attacchi. Tramite lo sfruttamento della vulnerabilità, un malintenzionato può bypassare i controlli all’autenticazione e, dall’accesso successivo, entrare in qualità di admin. Per quel che riguarda gli attacchi già apparentemente subiti, sembra che siano stati proprio questi il fattore che ha portato alla segnalazione visto che sono stati notati il 13 gennaio ma per fortuna sembra che siano stati anche bloccati. È importante in questo caso fare i complimenti agli sviluppatori di Modular DS che hanno rilasciato una toppa in tempi molto ristretti, ma dall’altra parte viene mossa anche una critica per il percorso di autenticazione impostato tecnicamente male poiché basato su URL e senza una validazione corretta, cosa che poteva portare a grossissimi danni.
L’importante, per concludere, è che tutti coloro che usano questo plugin installino la versione 2.5.2 contenente la patch ed invitino a farlo fare anche ad altri, poiché i problemi che possono arrivare da una scalata dei privilegi senza autenticazione sono i più disparati. Essi comprendono infatti, ovviamente, la perdita di tutti i dati del sito oltre che delle informazioni contenute in DB e backend, ma se per caso si ha un portale e-commerce questo può comportare anche grossi problemi sui dati di pagamento. In mezzo a questo scenario mettiamo anche il danno alla reputazione che può provenire da sfruttamenti di queste vulnerabilità, che si possono utilizzare però anche per far effettuare redirect malevoli ai siti. Se si moltiplicano questi problemi su 40mila siti è evidente cosa ne può venire fuori, ma l’aggiornamento è molto semplice e rapido.
Fonte: 1
