Al termine di gennaio sono state segnalate alcune vulnerabilità su uno strumento molto utilizzato dagli utenti di WordPress, che come è noto è attualmente il CMS col maggior numero di siti all’attivo in tutto il mondo. Il plugin in questione è All-in-One SEO Pack, attualmente installato in oltre tre milioni di siti, che funge da facilitatore per tutto ciò che riguarda l’indicizzazione dei portali nei motori di ricerca. Entrambe le falle di sicurezza erano di tipo XSS, ovvero Cross-Site Scripting, e consentivano, nel primo caso (CVE-2023-0586), di inserire codice malevolo anche se si era autenticati soltanto come collaboratori. Gli script inseriti si sarebbero caricati poi ad ogni apertura delle pagine corrotte così come nel secondo caso (CVE-2023-0585), che era tuttavia sfruttabile solo da coloro che si autenticavano come amministratori. Entrambe le vulnerabilità erano presenti nelle versioni del plugin fino alla 4.2.9 e sono state valutate come di entità media.
Nonostante le falle di sicurezza non fossero gravi si è resa necessaria un’azione rapida da parte del team di sviluppo di All-in-One SEO Pack poiché tutti gli script malevoli sarebbero stati caricati sui browser ad ogni visualizzazione delle pagine corrotte da parte degli utenti. L’azione degli sviluppatori però, stando al report di WordFence, non è stata prontissima, visto che nella timeline ricostruita si parte dal 25 gennaio 2023, giorno in cui è stata segnalata la falla, per arrivare poi al giorno 6 febbraio scorso, quando è stata rilasciata la versione fixata, ovvero la 4.3.0.
Il problema, come spesso accade, sta nella scarsa prontezza di riflessi da parte di chi utilizza i plugin corrotti sui propri siti. Questo perché si tende ad ignorare tutto ciò che accade agli strumenti che installiamo rischiando poi di non sapere assolutamente nulla su eventuali vulnerabilità e non aggiornare correttamente poi il tutto. Nel caso di All-in-One SEO Pack poi tali dimenticanze risulterebbero ancora più vistose, dato l’alto numero di download di questo strumento che negli anni è arrivato, come abbiamo visto, ad oltre 3 milioni di installazioni.
Il consiglio in questi casi è quello di informarsi periodicamente su tutto ciò che accade nel mondo dei plugin e dei CMS tenendo ovviamente sott’occhio gli strumenti utilizzati nei propri backend. Il danno di un XSS o di un’altra qualsiasi minaccia andata a segno potrebbe rivelarsi molto grave così come lunghe potranno essere le operazioni di pulizia del sito in caso di violazioni. Esistono certamente molti strumenti, forniti anche dai provider, per proteggere i siti in hosting ma oltre a consigliarne l’utilizzo è anche importante sapere come comportarsi preventivamente.
Fonte: 1