Utilizzando i CMS, come spesso ripetiamo, è frequente dover fare i conti con una serie di problematiche legate alla sicurezza degli strumenti disponibili, sia che essi siano “originali”, ovvero sviluppati dalla casa produttrice della piattaforma, sia che si tratti di strumenti creati da aziende esterne. Il secondo è il caso dei plugin, che rispetto agli strumenti nativi hanno una frequenza maggiore di segnalazioni di bug, vulnerabilità ed altri tipi di falle di sistema, dai quali comunque non sono esenti neanche i temi, per entrare in tema WordPress.
In questo articolo parliamo di una nuova temibile minaccia che è stata notificata da Wordfence riguardo al plugin SureForms, che come si intuisce dal nome è uno strumento utile alla creazione di campi da compilare per qualsiasi necessità. Gli specialisti nella sicurezza di WordPress hanno spiegato di aver aperto una segnalazione alla casa produttrice in quanto sarebbe stata presente, nel plugin, una falla di sicurezza in grado di portare ad eliminazione arbitraria di file soltanto inviando i moduli, che potrebbe portare anche alla cancellazione del noto file critico wp-config.php, la cui eliminazione potrebbe fungere da viatico per qualcosa di ben peggiore, ovvero l’esecuzione di codice da remoto. A sua volta, quest’ultima può fare perdere totalmente il controllo del sito, portando ad esempio il sito ad effettuare redirect su portali fraudolenti, oppure potrebbero essere caricati su di esso file illeciti e quant’altro. Insomma, il rischio in questi casi è molto alto.
Wordfence ha contattato, come abbiamo detto, i produttori intorno alla fine di giugno, ricevendo comunque risposte rapide ed iniziando anche un canale informativo sui dettagli dell’accaduto, arrivando a rilasciare una patch nel giro di pochissimo tempo. Per fortuna, a differenza di altre volte, non sono molte le versioni del plugin a contenere questa vulnerabilità, ma solo otto, poiché si tratta di uno strumento piuttosto “giovane”. Per tutte queste versioni, tuttavia, si è collaborato anche con la stessa WordPress per porre un rapido rimedio. La vulnerabilità della quale stiamo parlando è stata comunque contrassegnata dal codice CVE-2025-6691 con una gravità pari a 8,8 su 10 e quindi piuttosto alta che va fino alla versione 1.7.3 inclusa. I creatori di SureForms hanno già diffuso la versione contenente la patch, come abbiamo preannunciato, in modo molto rapido ricevendo anche numerosi complimenti, ed attualmente la versione disponibile è la 1.8.0.
Il problema, sebbene sia stato teoricamente sanato in modo rapido, va gestito in modo altrettanto veloce, poiché abbiamo visto i rischi che si corrono e ciò che “spaventa” è la quantità di potenziali vittime, dato che il totale dei siti che utilizza questo strumento è pari a 200.000, e questo significa altrettante potenziali minacce. Come sempre, se si utilizza questo plugin è importantissimo procedere all’aggiornamento, qualora non si fossero impostati in automatico.
Fonte: 1
