Poco più di un mese fa, verso la fine di giugno, abbiamo parlato di alcuni importanti problemi sofferti dal plugin di WordPress chiamato AI Engine (qui l’approfondimento), che in quel momento aveva patito della presenza di una importante vulnerabilità di ad alta criticità che avrebbe potuto portare gli utenti che lo utilizzavano a perdere anche il controllo del sito. Il problema in quel caso rientrò con discreta rapidità poiché interessava solo alcune versioni del plugin e non tutte, cosa che accade spesso e che rende gli aggiornamenti urgenti per tutti gli utenti che li utilizzano.
Pochi giorni fa, tuttavia, è emersa una nuova falla all’interno dello stesso AI Engine, che consentirebbe di caricare in modo arbitrario dei file all’interno dei siti ai malintenzionati che la sfruttano, dando anche modo a quest’ultimi di eseguire codice da remoto. Coloro che potevano approfittarsi della vulnerabilità però erano solo quegli utenti registrati ai siti con livello “sottoscrittore” o superiori, ma essa avrebbe potuto portare ovviamente alla perdita totale del sito web. Nonostante tutti questi fattori di preoccupazione anche in questo caso ci sono, a partire dal livello di autenticazione già visto, diversi fattori che abbassano le difficoltà.
In primis, la vulnerabilità contrassegnata dal numero CVE-2025-7847 interesserebbe solo due versioni del plugin, vale a dire la 2.9.3 e la 2.9.4, che comunque ha ricevuto un livello di criticità pari a 8.8 su 10. In secondo luogo c’è il fatto che la problematica sembra poter colpire solo ed esclusivamente coloro che hanno abilitato le API dalle impostazioni, cosa che di default viene inserita come disabilitata, e che non hanno impostato l’autenticazione per le API stesse. Un altro fattore positivo è stato sicuramente la velocità di ricezione dell’emergenza, poiché la segnalazione è stata inviata soltanto il 18 luglio scorso, quindi pochi giorni fa, ma nonostante questo è già stata resa disponibile a tutti la versione 2.9.5 del plugin, contenente una patch di sicurezza che va a sanare il tutto.
L’unica difficoltà adesso sarà far operare l’aggiornamento agli oltre 100.000 utenti che nei loro siti utilizzano AI Engine, che se rientrano nella casistica di coloro potenzialmente vulnerabili rischiano tutto ciò che abbiamo raccontato in precedenza. L’aggiornamento della versione è ancora più urgente adesso che questa vulnerabilità è stata divulgata pubblicamente, quindi il rischio è salito abbastanza di livello ma è ovviamente importante aver informato tutti coloro che potrebbero esserne interessati. Questo rientra nelle classiche operazioni che raccomandiamo continuamente, ovvero l’informazione perpetua sugli strumenti che utilizziamo online, che meritano attenzione e cura per evitare che una distrazione si tramuti in una perdita di dati, informazioni, reputazione e finanche di interi siti costruiti negli anni.
Fonte: 1
