Riprendiamo il tema delle vulnerabilità sui CMS e, come sempre, ci focalizziamo su quello più utilizzato al mondo, ovvero WordPress, che viene spesso menzionato nei siti di appassionati ed esperti di sicurezza non tanto per sue responsabilità dirette quanto per le vulnerabilità presenti su plugin sviluppati da aziende esterne. Questi strumenti, come ormai sappiamo, possono semplificare la vita di coloro che creano siti web ma possono talvolta celare insidie che, una volta rese pubbliche, mettono a rischio i siti e con loro tutti i loro contenuti, comprese le informazioni contenute nei database.
In questo breve approfondimento parleremo proprio di uno di questi plugin, e nello specifico di WPvivid Backup, che come si può intuire dal nome ha compiti più attinenti alla sicurezza ed al salvataggio di copie del sito per recuperarle in caso di necessità o di attacco mirato. Proprio per questo plugin i tecnici di Wordfence hanno pubblicato l’annuncio della scoperta di una vulnerabilità che consentirebbe, se sfruttata, di caricare file in modo arbitrario anche a coloro che non sono autenticati all’interno del backend del sito. Il caricamento arbitrario di file, per essere maggiormente chiari, mette in pericolo i siti poiché potrebbe poi portare anche all’esecuzione di codice da remoto, cosa che può portare ovviamente alla perdita totale del controllo del sito web colpito. Questa falla di sicurezza è stata segnalata la prima volta il 12 gennaio scorso ed i tecnici di WPvivid hanno risposto a strettissimo giro, mentre per l’aggiornamento ci sono volute circa due settimane.
Passando al dettaglio un po’ più tecnico della vulnerabilità, ad essa è stato assegnato il codice CVE-2026-1357 oltre ad una gravità di livello critico, ovvero il più alto, pari a 9,8 su 10, e comprende tutte le versioni del plugin fino alla 0.9.123 (inclusa). L’impatto della vulnerabilità come si evince dal titolo è molto grande visto che attualmente il plugin conta più di 800.000 installazioni attive e, come sappiamo, gli utenti di WordPress spesso non corrono ai ripari installando le patch di sicurezza che vengono rilasciate con più o meno rapidità dai produttori. Il problema relativo a questa falla di sicurezza, tuttavia e nonostante l’alta criticità, riguarderebbe solo quegli utenti che hanno attivato una chiave dalle impostazioni del plugin per permettere che un sito terzo possa inviare i backup al sito sopra al quale si sta lavorando, un’impostazione che di default non è attiva.
Nonostante quest’ultima notizia abbastanza positiva è importante sottolineare che tutti coloro che utilizzano questo plugin nelle versioni 0.9.123 e tutte le precedenti devono installare urgentemente la patch di sicurezza contenuta nella versione 0.9.124, e visto che si parla di una platea molto vasta è chiaro che i pericoli che si corrono si possono diffondere a macchia d’olio, soprattutto ora che è stata divulgata la vulnerabilità. Come sempre, è importante mantenere sempre attiva l’attenzione nei confronti dei propri CMS e degli strumenti che utilizza, poiché una scarsa cura può far perdere completamente il controllo dei siti e soprattutto in alcuni casi i danni si ripercuoterebbero su reputazione, indicizzazione sui motori di ricerca e molte altre gravi problematiche.
Fonte: 1
