Dopo aver approfondito le possibili nuove introduzioni da attendere nella versione 6.9 di WordPress prevista nei prossimi mesi dobbiamo purtroppo tornare a parlare di problemi legati alla sicurezza degli strumenti prodotti esternamente rispetto al CMS ma che aiutano gli sviluppatori dei siti web a facilitare e velocizzare i loro compiti, ovvero i plugin. Come sappiamo, non tutti i plugin sono uguali, ma tutti (o quasi) possono essere scaricati gratuitamente dalla repository ufficiale dopo una ricerca, ma spesso le versioni di base sbloccano feature insufficienti o banalmente non quelle che ci farebbero più comodo, e per rimediare si deve passare a versioni Pro a pagamento, con canoni variabili.
Questo preambolo sulle versioni a pagamento dei plugin fa da cappello al problema di sicurezza che è stato riscontrato su un plugin che serve a facilitare ancora di più la creazione di siti e-commerce, che però ha riguardato soltanto la sua versione Pro. Il plugin in questione si chiama Dokan Pro, e viene utilizzato, nella versione gratuita da circa 50.000 utenti, mentre la versione premium ha circa 15.000 utenti. All’inizio di giugno è stato segnalato un problema relativo alla cosiddetta privilege escalation, ovvero la “scalata dei privilegi” a livello di ruolo dell’utente che si collega al sito web riguardante Dokan Pro. Nel caso specifico, un utente di tipo “vendor” (ricordiamo che si tratta di siti e-commerce) poteva arrivare ad avere i privilegi illimitati che ha un amministratore, potendo arrivare anche a sottrarre ai legittimi proprietari il controllo del sito.
Sebbene la segnalazione sia arrivata nella prima metà di giugno, è giusto far notare che anche per un plugin a pagamento non c’è stata alcuna velocità di riassorbimento della falla, che è stato effettuato solo a metà agosto. Andando per ordine però, è importante spiegare che il punteggio dato alla gravità della vulnerabilità, che ha preso il nome CVE-2025-5931, è di 8.8 su 10, quindi molto alto, e che riguardava tutte le versioni del plugin fino alla 4.0.5 inclusa. Tecnicamente, il problema del raggiungimento illecito di privilegi da amministratore avveniva a causa di un errore di convalida degli utenti quando essi reimpostavano la password come membri dello staff. Facendo ciò potevano poi cambiare le password degli utenti, amministratori compresi ed accedere quindi al loro posto.
Attualmente è stata resa disponibile la nuova versione 4.0.6 che dovrebbe aver rimesso a posto la falla presente in Dokan Pro, ma è importantissimo che gli oltre 15.000 utilizzatori di questo plugin aggiornino quanto prima il tutto, anche coloro che lo usano gratuitamente, la prudenza non è mai troppa. Chiaramente, non si sa ancora se questa vulnerabilità è stata sfruttata o meno, ma adesso che è stata segnalata diventa ancora più urgente effettuare l’aggiornamento e diffondere la notizia anche ad altri potenziali utenti. Ovviamente i rischi correlati alla perdita del controllo di un sito, specie se e-commerce, li conosciamo bene. A partire dai dati personali dei clienti ed i loro metodi di pagamento eventualmente salvati, fino ad arrivare alla perdita di reputazione è importante mantenere sempre una cura del portale di livello molto alto.
Fonte: 1
