Torniamo a trattare i temi che riguardano la sicurezza del CMS più utilizzato al mondo, vale a dire WordPress, parlando di un nuovo caso di vulnerabilità critica riscontrata su uno strumento sviluppato esternamente alla piattaforma, ovvero un plugin, che però potrebbe portare a gravissimi problemi di sicurezza per un grande numero di siti web.
Il caso in questione è quello di Smart Slider 3, strumento che, come si può evincere anche dal nome, consente di creare degli sliders, vale a dire gallerie di foto che si possono scorrere. Con oltre 800.000 installazioni attive, la portata del rischio è enorme, poiché la falla permette a un malintenzionato di “curiosare” tra i file riservati del backend del proprio sito web, ed appare chiaro come questo possa portare a grosse perdite anche di altri dati. La prima segnalazione di questa vulnerabilità sarebbe arrivata alla fine del febbraio scorso, alla quale è seguita la notifica alla casa produttrice Nextend nei primissimi giorni di marzo con il rilascio di una versione contenente una patch avvenuta in data 24 marzo.
La problematica ruota attorno a un problema tecnico annidato nella funzione di esportazione del plugin. In pratica, a causa di un controllo insufficiente sui permessi, un utente registrato al sito anche con il ruolo più basso, come quello di un semplice subscriber, poteva inviare comandi specifici per costringere il sistema a mostrare il contenuto di file sensibili. Il pericolo maggiore riguarda la possibilità di leggere il file di configurazione principale di WordPress, il celebre wp-config.php, che custodisce le chiavi d’accesso al database e altre informazioni vitali per la sopravvivenza del sito. È chiaro come la perdita di controllo di questo file significherebbe la perdita definitiva del sito, che i malintenzionati potrebbero sfruttare per effettuare redirect malevoli, far scaricare contenuti illeciti o molte altre azioni fraudolente. La vulnerabilità, segnalata con il codice CVE-2026-3098 riguarda tutte le versioni del plugin fino alla 3.5.1.33 (inclusa) e il punteggio di criticità assegnato è stato di 6,5 su 10, ovvero di livello medio.
Fortunatamente la risposta degli sviluppatori di Smart Slider 3 è stata rapidissima. Dopo la segnalazione già citata si è arrivati al rilascio di una versione correttiva, vale a dire la numero 3.5.1.34. Il consiglio, ovviamente, per coloro che hanno un sito che utilizza il plugin in questione, è di dare priorità assoluta alla verifica, all’interno del proprio backend, della versione attualmente installata e provvedere, in caso fosse una di quelle vulnerabili, all’aggiornamento. In un panorama digitale dove la prevenzione è l’unica vera difesa, un semplice clic sull’aggiornamento può fare la differenza tra un sito sicuro e uno completamente compromesso.
Fonte: 1
