Torniamo a parlare di CMS e nello specifico di WordPress, facendo sempre la solita premessa sull’importanza della protezione e di quella che solitamente chiamiamo “cura” degli strumenti che utilizziamo in qualità di creatori e sviluppatori di siti nostri o per conto terzi. Come al solito, torniamo anche sulla centralità che i plugin hanno nella gestione della sicurezza dei propri dati e dei siti stessi, visto che i problemi associati a questi strumenti aggiuntivi possono trascinare con sé anche effetti negativi a catena, come ad esempio la diffusione di malware.
In questo approfondimento parleremo di un urgente avviso rilasciato pochissimi giorni fa e riguardante un plugin che risulta essere installato, guardando alla lista di WordPress, su circa sei milioni di portali. Il nome è WPForms e viene usato, come si può immaginare, per creare form compilabili da inserire all’interno delle pagine dei propri siti, comprese quelle in cui aggiungere dati di pagamento e finanziari come un numero carta e simili. La vulnerabilità riscontrata e segnalata da Wordfence, che ha premiato la persona che l’ha scoperta, consentirebbe ad utenti non autenticati e senza privilegi di rimborsare pagamenti effettuati con il sistema Stripe così come di cancellare eventuali abbonamenti attivi sui siti dove WPForms è utilizzato a tale scopo.
La vulnerabilità è stata contrassegnata con la sigla CVE-2024-11205 ed ha una gravità con un punteggio considerato alto e pari a 8.5. I problemi sono presenti nelle versioni che vanno dalla 1.8.4 alla 1.9.2.1, che nel novembre scorso, proprio a seguito delle segnalazioni, è stata patchata ed aggiornata passando alla 1.9.2.2. Nello specifico, per sfruttare questa falla di sicurezza era necessario soltanto essersi autenticati anche con ruoli minori quali “iscritto” o “abbonato” per poi avere accesso ai privilegi dei quali abbiamo già parlato.
Per fare una breve cronistoria della problematica, le prime segnalazioni sono iniziate il giorno 8 novembre, quando un utente del bug bounty di Wordfence ha scritto che era stata notata un’operazione di rimborso non autorizzata e di annullamento di un abbonamento. Dopo vari test, è arrivata la conferma ufficiale della presenza del bug, cui è seguito il rilascio della versione 1.9.2.2, avvenuto dieci giorni dopo, ovvero il 18 novembre. La velocità di aggiornamento, come abbiamo visto, non è assolutamente mancata da parte degli sviluppatori, ma ad essa deve per forza di cose fare seguito anche una certa prontezza da parte di coloro che utilizzano il plugin, visto che gli utenti sono moltissimi. Non molti giorni fa è infatti stato stimato che di oltre sei milioni di utilizzatori, solo il 50% ha provveduto ad aggiornare la versione contenente la patch di sicurezza, pertanto tre milioni di siti sono attualmente vulnerabili e sono molto più in pericolo di prima dato che è stata data la notizia ufficiale della presenza di questa vulnerabilità. C’è da affermare tuttavia che, fino alla diffusione delle informazioni sulla falla, non era stato notato alcun attacco rivolto a siti che utilizzano WPForms.