Torniamo a parlare di CMS, come di consueto, e soprattutto di problematiche legate alla sicurezza degli strumenti che vengono utilizzati dagli sviluppatori che creano i siti su queste piattaforme. In generale, è noto ormai come i plugin siano sicuramente uno strumento utile e capace di velocizzare e semplificare talune operazioni ma anche come, al contempo, possano riservare brutte sorprese se non si provvede ad una cura costante di essi, monitorando la presenza di aggiornamenti o più banalmente informandosi anche tramite il web sul loro “stato di salute”.
Nelle scorse settimane WordFence, portale specializzato nella sicurezza di WordPress e che spesso viene citato in questo blog, ha riportato notizie riguardanti due vulnerabilità importanti su altrettanti plugin del noto CMS. Andando per ordine, partiamo con quella notificata per prima, ovvero la falla di sicurezza riscontrata sul plugin Jupiter X Core, strumento utilizzato dagli utenti di WordPress per avere una miglior gestione del tema Jupiter X. Mediante questa vulnerabilità, scoperta ad inizio gennaio da WordFence e comunicata dal portale solo il 17 febbraio scorso, dopo tutte le segnalazioni fatte pervenire da quest’ultimo verso gli sviluppatori, un utente anche con bassi privilegi (da collaboratore in su) potrebbe caricare file in formato SVG malevoli su un sito includendovi poi del codice malevolo per avere il controllo remoto del portale. La falla è particolarmente importante poiché interessa tutte le versioni del plugin fino alla numero 4.8.7, e questo significa, oltre a ciò che abbiamo già scritto, che se un attacco che sfrutta questa vulnerabilità dovesse andare a segno, il proprietario del sito potrebbe perdere il controllo sui dati sensibili contenuti nel database, vedere che il proprio sito effettua delle strane attività di redirect verso altri portali e molto altro.
La falla su Jupiter X Core è stata contrassegnata dal codice CVE-2025-0366 ed è stata giudicata col punteggio di 8.8 su 10 per il suo livello alto di criticità, mentre dopo tutte le segnalazioni e le attività effettuate da WordFence in collaborazione coi produttori si è arrivati alla nuova versione 4.8.8, contenente la patch di sicurezza, in data 29 gennaio 2025. Come al solito e come spiegato all’inizio dell’approfondimento è ora necessario che tutti coloro che usano questo plugin provvedano all’aggiornamento, dato che è attualmente installato su più di 90.000 siti web sviluppati con WordPress. Aggiungiamo che nel momento in cui viene scritto questo articolo è già stata resa disponibile la versione 4.8.9, scaricabile anch’essa dalla repository ufficiale di WordPress.
Passando invece al secondo plugin interessato, WordFence ha diramato un’allerta anche per lo strumento chiamato Everest Forms, che ovviamente aiuta gli utenti a creare campi da riempire per inserirli sui loro siti web sviluppati sempre con WordPress. Anche in questo caso la vulnerabilità riscontrata permetterebbe a utenti neanche autenticati di caricare file deliberatamente all’interno dei portali e di eseguire quindi codice remoto. Oltretutto, l’aggressore che sfrutta la falla può essere anche in grado di cancellare file di ogni tipo, compreso quello chiamato wp-config.php, spianandosi quindi la strada per la sottrazione totale del controllo del sito. Questa vulnerabilità è stata scoperta e segnalata la prima volta a WordFence a metà gennaio scorso e, dopo i dovuti controlli, è stata ufficializzata ad inizio febbraio, quando è stato inviato un alert all’azienda che produce Everest Forms, specificando che il problema è presente in tutte le versioni del plugin fino alla 3.0.9.4. Come di consueto, è stato assegnato anche un codice alla vulnerabilità, ovvero CVE-2025-1128, mentre il punteggio dato alla criticità è di 9.8 su 10, cosa che rende molto importante procedere al download della versione 3.0.9.5 contenente la patch di sicurezza, disponibile dal 20 febbraio. L’importanza del bug fixing è massima, poiché il plugin Everest Forms viene attualmente utilizzato su oltre 100.000 portali creati utilizzando WordPress, per i quali è importantissimo procedere all’installazione della nuova versione oltre che alla diffusione della notizia a tutti gli utenti che usano il plugin.
In conclusione, riallacciandoci al concetto espresso nel primo paragrafo, è importante capire come una mancanza di cura nei confronti del backend di WordPress, così come di ogni altro CMS, può portare, oltre alla perdita di dati e del controllo dei propri portali, anche al prolungamento di una catena di infezioni che, se tutti prestassero maggiore attenzione, incontrerebbe più difficoltà e sarebbe quindi meno efficace.
