Come spesso ripetiamo in questo blog, non sono soltanto i plugin ad essere passibili di problematiche di sicurezza quando si parla di WordPress o di qualsiasi altro CMS, questo perché può anche accadere che sia la piattaforma stessa a presentare falle più o meno gravi e che vada aggiornata quanto prima onde evitare qualunque tipo di grattacapo e togliersi ogni dubbio. Questo è il caso di ciò di cui vogliamo parlare in questo breve focus, poiché su una delle più recenti versioni di WordPress è stata riscontrata una problematica di sicurezza che non deve portare a panico ma che deve fare riflettere sulla necessità di mantenere alta l’attenzione, mentre alla fine dell’articolo daremo qualche consiglio per effettuare gli aggiornamenti del core di WordPress senza correre alcun rischio inutile.
L’11 marzo scorso è stata pubblicata una vulnerabilità del core WordPress, ovvero la CVE-2026-3906, una vulnerabilità di tipo Missing Authorization scoperta nelle versioni più recenti del core di WordPress, ovvero la 6.9. Con il rilascio di WordPress 6.9, è stata infatti introdotta la funzione Notes, o più semplicemente il blocco “Note”, vale a dire un sistema di annotazioni a livello di blocco pensato per facilitare la collaborazione editoriale direttamente nell’editor Gutenberg. In pratica, una sorta di sistema per apporre “Post-it” digitali e coordinarsi tra tutto il team degli autori del sito o del blog. Il problema riscontrato nei giorni scorsi è costituito dal fatto che gli sviluppatori si sono dimenticati di controllare “chi” può attaccare questi post-it. Il difetto risiede nel controller dei commenti dell’API REST, precisamente nel metodo create_item_permissions_check(), che idealmente dovrebbe verificare se un utente ha un permesso per poter pubblicare la nota in un determinato contenuto, ma questo controllo non avviene nelle versioni 6.9 e 6.9.1 di WordPress.
Ciò significa che un utente ha un livello anche molto basso di privilegi, come ad esempio un sottoscrittore, può comunque inoltrare richieste alle API ed apporre “post-it” sui post, senza esclusioni e quindi anche su post privati o bozze non ancora pubblicate ma create da altri autori. Questa bassa quantità di versioni WordPress interessate dal problema di sicurezza potrebbe indurre qualcuno a non effettuare l’aggiornamento, visto che il punteggio ricevuto è “solo” di 4.3 su 10, ma non bisogna farsi ingannare poiché i rischi sono comunque importanti. Se si pensa che questa falla di sicurezza può portare a problemi legati all’integrità editoriale, quindi a note fasulle con istruzioni malevole, oppure semplicemente al furto di informazioni ed all’automatizzazione tramite script dell’inserimento di note su una quantità indefinita di contenuti del proprio sito è chiaro che l’aggiornamento va fatto comunque.
C’è ovviamente, ma questo ormai si sa, la buonissima notizia data dal fatto che da qualche è disponibile la versione 6.9.2 del CMS, già seguita dalla 6.9.3 e la 6.9.4 (versione attualmente in uso) tutte contenenti la patch e che quindi farà applicare il controllo al metodo create_item_permissions_check() chiudendo definitivamente le porte in faccia a tutti quegli utenti con privilegi bassi ma con un alto livello di curiosità. Prima di effettuare gli aggiornamenti di qualsiasi versione di WordPress, ricordiamo sempre, è necessario provvedere ad effettuare una copia di backup così che una volta passati alla versione superiore non si abbiano blocchi al sito dovuti a incompatibilità di plugin, temi o qualsiasi altro elemento.
