Torniamo a raccontare i problemi legati alla sicurezza dei CMS ed in particolare di WordPress, specialmente da parte degli strumenti aggiuntivi a disposizione di coloro che utilizzano le piattaforme per la creazione semplificata dei siti web, ovvero i plugin ed i temi. Come sempre, è normale che questi tool abbiano dei problemi o che emergano vulnerabilità di gravità bassa, media ed alta, poiché il loro sviluppo non potrà mai essere esente da potenziali errori, ma il grado di “bravura” degli addetti ai lavori sta proprio nella proattività con la quale sono capaci di porre rimedio.
Fatta questa doverosa introduzione, è giusto specificare che l’oggetto di questo approfondimento è un tema che serve agli sviluppatori con WordPress che vogliono creare un sito per la vendita di abitazioni, il cui nome è RealHomes, che si appoggia a Elementor, un website builder arcinoto nel mondo del CMS più utilizzato al mondo. Ebbene, per questo tema già a partire dai primi giorni di maggio era stata segnalata una falla di sicurezza capace di colpire ben 33.000 siti che lo utilizzano. La vulnerabilità, contrassegnata dal codice CVE-2025-4601 e con una gravità piuttosto alta pari a 8,8 su 10, consentirebbe la cosiddetta privilege escalation, ovvero l’auto-assegnazione di coloro che la sfruttano di ruoli da amministratore, facendo perdere il controllo dei siti ai legittimi proprietari. Ci devono tuttavia essere delle condizioni di base per poterla sfruttare, come al solito, ovvero, in questo specifico caso, avere già accessi almeno come abbonato e, soprattutto, bisogna che lo sviluppatore abbia abilitato la funzione Show user role option in profile, ovvero mostrare il ruolo dell’utente nel profilo.
Il problema relativo a questo tema era già presente in tutte le versioni fino alla 4.4.0, nella quale era stata risolta solo in parte, poi però con la versione 4.4.1 il problema è stato completamente rimosso. Sfruttare la vulnerabilità porterebbe ovviamente alla perdita totale del sito da parte del suo proprietario, poiché l’aggressore potrebbe semplicemente accrescere i suoi privilegi fino ad arrivare al massimo possibile e, per esempio, caricare plugin malevoli, installare cartelle zip contenenti backdoor oppure banalmente modificare tutti i contenuti per fare spam o per effettuare redirect verso siti infetti. In caso di mancato aggiornamento, questi problemi possono interessare decine di migliaia di utenti, quindi è importante passare all’azione ed installare la versione più recente tra quelle distribuite.
Considerando che tra la segnalazione della vulnerabilità, l’approvazione di quest’ultima da parte degli sviluppatori ed il rilascio vero e proprio di una primissima patch è passato poco meno di un mese è importante sottolineare anche, rispetto a ciò che abbiamo scritto nell’introduzione, che questo modo di agire da parte dei proprietari di temi e plugin può essere considerato corretto e abbastanza proattivo. L’importante, e qui ci ripetiamo per l’ennesima volta, è esserlo a nostra volta e, ove fossimo utilizzatori di RealHomes su WordPress, aggiornare il tema e tutti i plugin che hanno aggiornamenti disponibili, oltre a restare sempre e costantemente aggiornati su tutte le novità che li coinvolgono.
Fonte: 1
