Torniamo ad occuparci di problemi di sicurezza sui CMS, chiaramente riferiti alla piattaforma di gran lunga più utilizzata al mondo per la creazione semplificata di siti web ovvero WordPress. Come sappiamo tra i punti maggiormente critici legati a questi comodi strumenti c’è senz’altro la questione legata ai plugin, strumenti quasi solo sviluppati da case indipendenti e che si possono installare quasi indiscriminatamente sul proprio backend per aggiungere features in modo più semplice e veloce.
Oggi la problematica sembra essere parecchio pesante, poiché ad essere in pericolo risultano essere diverse centinaia di migliaia di siti, visto l’altissimo numero di utenti del noto CMS che utilizzano il plugin in questione. Il nome del plugin è Fluent Forms, uno strumento che, come moltissimi altri, viene scaricato ed installato per facilitare la creazione di form da inserire sul proprio sito web. Al termine del mese di agosto è stata notata una importante vulnerabilità che consentirebbe ad un malintenzionato di inserire oggetti PHP malevoli, un’attività che può verosimilmente portare alla perdita di controllo del proprio sito così come ad attività come redirect forzati, furto di informazioni ed altro. Dopo pochi giorni dalla segnalazione, tuttavia, il team che sviluppa Fluent Forms ha dimostrato di aver recepito tutti gli alert, producendo e distribuendo una patch di sicurezza apparentemente efficace in pochissimi giorni.
La vulnerabilità riscontrata sul plugin, tuttavia, è stata contrassegnata dal codice CVE-2025-9260 e le è stato assegnato un grado di pericolosità piuttosto basso, ovvero di 6.5 su 10. Questo può sorprendere, viste le oltre 600.000 installazioni delle versioni gratuite ed a pagamento del plugin, ma è dovuta sicuramente a due fattori. Innanzitutto, la falla di sicurezza si trova nelle versioni del plugin che vanno dalla 5.1.16 alla 6.1.1, cosa che non mette al riparo totalmente da problemi ma che comunque restringe un po’ il campo, ma soprattutto questa falla è sfruttabile solo da coloro che sono autenticati col ruolo di abbonato o superiore. Un piccolissimo neo è costituito però dal fatto che questa problematica era stata già segnalata per la versione 6.1.0 ed era stata dichiarata risolta, cosa che non si è poi realizzata.
Come detto in precedenza, però, gli sviluppatori hanno adesso rilasciato una versione realmente corretta dagli errori, ovvero la versione 6.1.2, che viene considerata maggiormente completa, questo metterebbe quindi al riparo da problemi come quelli già citati, non ultima la perdita di informazioni sensibili, visti i dati che solitamente vengono inseriti nei form dagli utenti dei siti che li contengono. Ovviamente il consiglio che diamo è quello di controllare di stare utilizzando la versione 6.1.2 di Fluent Forms poiché, anche se la pericolosità è tutto sommato bassa, i rischi permangono e vanno evitati ad ogni costo. Il solito problema, quando si parla di plugin con tantissime installazioni, è costituito dal fatto che adesso è stata data la notizia di questa vulnerabilità, quindi a maggior ragione è importante installare e fare installare la patch a coloro che sappiamo essere utilizzatori di Fluent Forms.
Fonte: 1
