Torniamo anche quest’anno ad occuparci di problemi di sicurezza legati ai CMS e più nello specifico a WordPress, visto che come sappiamo non esiste un periodo nel quale non si assiste alla scoperta di qualche bug più o meno grave per queste piattaforme, soprattutto per quei plugin che vengono sviluppati da case esterne che non sempre rispondono prontamente alle segnalazioni. Questo modo di operare aggiunge farraginosità alla già difficile attività di mantenimento della sicurezza dei sistemi, coinvolgendo come sappiamo migliaia e migliaia di potenziali vittime che non aggiornano i plugin.
Venendo al caso in esame in questo approfondimento, è stata segnalata qualche giorno fa la presenza di una falla di sicurezza sul plugin Demo Importer Plus uno strumento che come molti altri si propone di semplificare le importazioni di elementi all’interno dei siti web sviluppati su WordPress. Su questo plugin è stato scoperto un problema di sicurezza che, se sfruttato, consentirebbe ai malintenzionati di entrare all’interno dei siti scalando i privilegi fino a diventare admin e resettare il tutto a proprio piacimento, cancellando i contenuti. La falla è stata scoperta alla fine di novembre scorso ed è stata prontamente segnalata al team di sviluppo, che ha rilasciato poi un aggiornamento dopo quasi un mese.
Alla vulnerabilità è stato assegnato il codice CVE-2025-14364, con una gravità non critica ma piuttosto alta, pari infatti a 8,8 su 10, spiegando che su questo plugin è possibile effettuare modifiche non autorizzate con perdita totale di dati e del controllo dell’intero backend a causa della mancanza di un controllo di una funzione Ajax. Le versioni del plugin interessate dal problema sono la 2.0.8 e tutte le precedenti, ma la vulnerabilità può essere sfruttata da malintenzionati che hanno accesso al sito come abbonati o superiori. Ovviamente questa è tutto fuorché una buona notizia, perché essere utenti di un sito con livello abbonato è semplicissimo, oltretutto è possibile che adesso che la falla è stata denunciata pubblicamente ci possa essere una “corsa” agli abbonamenti di modo da poter sfruttare il bug.
Gli sviluppatori, come accennato, hanno provveduto alla pubblicazione della versione 2.0.9 contenente la patch di sicurezza il 16 dicembre scorso, ed è ancora questa la versione disponibile controllando la repository ufficiale WordPress. Ovviamente, anche per i motivi elencati poche righe sopra, è importantissimo che adesso coloro che utilizzano Demo Importer Plus provvedano ad installare l’aggiornamento, se non l’hanno già fatto, e che provvedano anche a diffondere la notizia a chi sanno che lo utilizza. Visto che in ballo c’è la sicurezza di oltre 10.000 siti è importante che il messaggio venga diffuso al più presto possibile e che, come monito generale, tutti coloro che utilizzano plugin effettuino frequentemente controlli sugli aggiornamenti disponibili per gli strumenti utilizzati. Un piccolo sforzo in più può portare benefici molto grandi, visto anche il costo che si potrebbe avere in caso di mancato controllo e di mancata cura.
Fonte: 1
