Torniamo a parlare di vulnerabilità su strumenti aggiuntivi del CMS più utilizzato al mondo, ovvero WordPress, per il quale quasi quotidianamente vengono scoperti plugin vulnerabili ed esposti ad accesso fraudolento, attività malevole ed altri rischi. Come spesso diciamo, queste problematiche non rendono la piattaforma meno sicura, ma danno invece la misura dell’importanza delle operazioni di controllo da effettuare con fitta regolarità da parte di chi sviluppa i siti su di essa. Questo perché seppur sia vero che le vulnerabilità sono tante è anche vero che essi molto spesso vengono aggiornati in tempi rapidi per evitare problemi agli utenti. Esistono poi alcuni plugin che non vengono aggiornati da moltissimo tempo e questo non è mai sinonimo di buona salute, ma l’ultimo rilascio viene messo comunque sempre in chiaro nella scheda del plugin.
Tornando all’approfondimento che si evince dal titolo dell’articolo, i tecnici di WordFence hanno riscontrato recentemente una vulnerabilità piuttosto critica sul plugin LatePoint, uno strumento che consente a chi lo installa di gestire appuntamenti e prenotazioni per le più svariate attività. Su questo plugin è stata segnalata una falla di sicurezza che consentirebbe ad utenti che non hanno effettuato l’autenticazione la modifica delle password di tutti gli utenti del backend, anche gli admin, facendogli prendere pertanto il controllo del sito web. Sul finire di settembre scorso i tecnici hanno inviato le segnalazioni al team di sviluppo di LatePoint che, in modo molto rapido, hanno recepito il messaggio ed hanno provveduto in pochi giorni a rilasciare una patch di sicurezza.
La vulnerabilità riscontrata è stata contrassegnata dalla CVE-2024-8943 con un punteggio di pericolosità pari a 9,8 su 10, coinvolgendo tutte le versioni fino alla 5.0.12 (inclusa) del plugin, ma a complicare il tutto ci si è messa anche un’altra vulnerabilità riscontrata precedentemente sullo stesso LatePoint, ovvero la CVE-2024-8911 che esponeva comunque i siti al cambio di password ma, e questo è peggio, era presente al rilascio prima versione patchata del plugin, la 5.0.12. Ciò ha costretto gli sviluppatori a rilasciare subito una nuova versione di LatePoint, la 5.0.13 che finalmente sembrerebbe essere esente da vulnerabilità.
I siti messi a rischio da questa vulnerabilità, se si considera il totale di quelli sviluppati su WordPress, non è altissima, si parla di 7000 portali circa, ma la facilità di sfruttamento della vulnerabilità mette comunque allerta per i potenziali pericoli che stanno correndo gli utilizzatori di questo plugin, che adesso devono necessariamente affrettarsi ad aggiornarlo.