In questi giorni è stata notificata una nuova, pericolosissima, falla di sicurezza su un plugin di WordPress molto utilizzato: Starter Templates. Il nome completo di questo strumento, utilizzato da milioni di utenti, è Elementor, Gutenberg & Beaver Builder Templates, ciò spiega l’utilità che ha per gli utenti che si affacciano nel mondo della creazione di siti web.
Questo perché il plugin dà modo all’utente di utilizzare tantissimi template su altrettanti editor, come vediamo nel nome. Ciò è molto utile quando ci si trova a dover sviluppare un sito da zero e si cercano soluzioni su misura per un blog, un e-commerce o quant’altro.
Veniamo però alla vulnerabilità, che comincia con l’assunto di base di dover utilizzare i blocchi per impaginare i contenuti del proprio sito. Ogni utente che ha accesso al backend di WordPress ha diversi privilegi assegnati dall’admin del sito, mediante i quali potrà aver accesso a talune modifiche. Molto spesso, gli utenti ai quali non si vuole fare modificare i contenuti avranno privilegi limitati, mentre l’admin avrà tutto sempre sotto controllo.
Il sistema appena spiegato, però, ha fatto riscontrare una falla per la quale anche i ruoli senza privilegi avrebbero avuto la possibilità di effettuare tutte le operazioni nei blocchi senza alcun divieto. Questo è accaduto, però, soltanto a coloro che, per la creazione del sito, stavano usando l’editor chiamato Elementor, ovvero il più utilizzato dopo Gutenberg, editor di default. Utilizzando il comando AJAX-Astra-page-elementor si possono così evitare i controlli sui permessi caricando codici dannosi.
Il rischio principale che si corre per questa vulnerabilità è relativo ai potenziali attacchi XSS, che consentirebbero a malintenzionati di iniettare codice malevolo in modo indiscriminato all’interno dei siti. Tramite queste operazioni si riuscirebbe a convogliare il traffico del sito verso altri portali a loro volta malevoli che possono rubare informazioni o far partire il download di file infetti. Un’altra operazione, anch’essa dannosa, è quella della creazione di backdoor che possono far prendere il controllo totale del sito estromettendo il legittimo amministratore.
I creatori di Starter Templates hanno già diffuso una patch di aggiornamento, ma l’alto numero di utenti mostra come in molti casi la maggior parte di essi abbia ancora attiva la versione corrotta. In generale è sempre preferibile aggiornare costantemente i plugin e controllare la presenza di update. Un altro consiglio è quello di utilizzare soluzioni di backup o simili per evitare di perdere dati e contenuti dei siti.
Fonte: 1