Nei giorni scorsi è stata nuovamente riscontrata una vulnerabilità su un plugin del noto CMS WordPress: Essential Addons for Elementor. Il celeberrimo tool è uno dei più usati per la creazione di temi per i siti sviluppati sulla piattaforma ed ha oltre un milione di installazioni.
I ricercatori di un noto portale sulla sicurezza hanno riscontrato una falla molto grave, che consentirebbe ad ogni utente, a prescindere dal livello di autenticazione, di fare upload di file. La pericolosità di questo problema appare più chiara nel momento in cui gli utenti malevoli si trovino nelle condizioni di inserire nei backend anche file malevoli compromettendo l’intero sito oppure di caricare codice malevolo.
Dopo l’avviso da parte di un esperto, il team di Essential Addons for Elementor si è messo subito in moto per fixare il problema e rilasciare una patch di aggiornamento. Nel giro di pochissimo tempo è stata diffusa quindi la versione 5.0.5 e tutti gli utenti sono stati esortati ad effettuarne il download. Gli stessi esperti che avevano segnalato la problematica hanno però notato che questa release non copre completamente dai rischi della prima vulnerabilità e, dopo aver inviato un nuovo alert, Elementor ha provveduto al rilascio della versione 5.0.6, che al momento sembra quella definitiva.
La gravità di questa falla, comunque già fixata, è quella della grande diffusione del plugin, installato su moltissimi siti. Di questi siti, almeno la metà ha versioni ancora precedenti alla 5.0, pertanto sono potenzialmente a rischio. Le cifre non sono basse, visto che solo in questo caso si parla di almeno mezzo milione di siti. La cifra però dovrebbe essere ancora maggiore, poiché non sono state contate le versioni fino alla 4.9.
Non esistono quindi soluzioni alternative al problema se non quella di aggiornare immediatamente il plugin vulnerabile. Se non si sa quale versione di Essential Addons for Elementor si sta utilizzando è possibile fare un controllo seguendo il percorso Plugin -> Plugin installati e guardare semplicemente la didascalia dei singoli plugin alla voce Versione.
Fonte: 1