È passato un po’ di tempo dall’ultimo allarme dato da problematiche legate all’utilizzo dei CMS e dalle vulnerabilità degli strumenti impiegati per lo sviluppo di siti, che come sappiamo presentano talvolta errori di programmazione che possono portare ad alcune falle di sicurezza anche pericolose. PatchStack, un portale legato alla sicurezza di WordPress, il CMS più utilizzato al mondo, ha dato notizia qualche giorno fa di una nuova falla che, se sfruttata, potrebbe portare a numerose criticità coloro che hanno installato il plugin segnalato come vulnerabile.
Il plugin in questione si chiama ASE, che sta per Admin and Site Enhancements, uno strumento che può essere utilizzato dagli utenti di WordPress per migliorare la fluidità dei lavori nel backend unendo le funzioni che solitamente vengono svolte da più plugin. In questo strumento è stata riscontrata una vulnerabilità sia per le versioni a pagamento che per quelle free, che se sfruttata dai criminali informatici potrebbe portare alla perdita del controllo dei portali e di tutto ciò che c’è al loro interno, ovviamente dati compresi, e sappiamo bene quanto queste eventualità debbano essere scongiurate per non aumentare il numero di problemi da fronteggiare. Nei meccanismi di assegnazione dei ruoli e dei relativi privilegi, per spiegare brevemente il problema, facendo mantenere a tutti il ruolo di amministratore anche qualora si volessero declassare. Questo problema, contrassegnato dai due codici CVE-2025-24648 e CVE-2024-43333 riferiti rispettivamente alle versioni pro e free del plugin, ha ricevuto un livello di criticità piuttosto alto, pari a 7,5, ed è presente nelle versioni del plugin che vanno fino alla 7.6.2.1.
La risoluzione, due mesi dopo la prima segnalazione fatta da PatchStack, è arrivata all’inizio del febbraio 2025 con la versione 7.6.3, ed è fondamentale che gli utilizzatori del plugin la installino quanto prima, dato che il plugin ASE è attualmente installato su oltre 100.000 backend di altrettanti siti. Va segnalato anche che la versione attuale, dopo diversi aggiornamenti, è la 7.6.9, ma è strettamente necessario provvedere alla sua installazione. Come raccomandiamo sempre, è fortemente consigliato, quando si lavora su CMS come WordPress, Joomla! ed altri, provvedere sempre a controllare qualsiasi tipo di novità inerente agli strumenti che utilizziamo, visto che nessuno di essi è immune da rischi di sicurezza, che capitano anche quando non c’è un “disegno criminoso”. Il raggiungimento di buoni livelli di sicurezza e protezione è un percorso che non è fatto soltanto di soluzioni a pagamento, ma anche di piccole attività personali che comprendono l’aggiornamento costante sugli strumenti che si utilizzano.
Fonte: 1
