WordPress: grave falla su un noto plugin

Come spesso ripetiamo, i plugin sono strumenti disponibili per vari CMS, in primis WordPress, per semplificare sempre di più l’inserimento di contenuti o la gestione degli stessi portali lato backend. In quanto strumenti aggiuntivi spesso sviluppati da società esterne essi possono essere veicolo di gravi problematiche ogni volta che viene alla luce qualche falla di sicurezza in grado di mettere a repentaglio il controllo del sito da parte del proprietario così come la stessa salute dei portali.

Nei giorni scorsi, il noto portale The Register ha annunciato che è stata riscontrata una di queste vulnerabilità proprio su uno tra i plugin maggiormente installati di WordPress, ovvero Advanced Custom Fields, uno strumento di editing per siti web sviluppati sul noto CMS. Tale falla, segnalata dalla sigla CVE-2023-30777 da parte di MITRE, espone i siti che utilizzano il plugin ad attacchi di tipo XSS (Cross-Site Scripting). Se si conta che tale strumento è attualmente installato, tra versione free e pro, da oltre 2 milioni di utenti, allora si riesce a comprendere quanto importante sia l’installazione della patch già rilasciata dai creatori.

Gli attacchi di tipo XSS consentono all’attaccante di inserire codice malevolo all’interno dei siti in modo indiscriminato oltre a dare il controllo come admin a chi li sferra escludendo i legittimi amministratori. Oltre a questo, è chiaro che la perdita di controllo del sito web porterebbe anche ad una perdita di dati molto importanti. Ancora più specificatamente, la falla sarebbe nella funzione chiamata admin_body_class, che se modificata potrebbe portare facilmente ad azioni come redirect su pagine malevole o su pubblicità che verrebbero visualizzate da chiunque visiti il portale.

Come già detto, gli sviluppatori di Advanced Custom Fields hanno già rilasciato un aggiornamento che consente di fixare il problema. La versione “pulita” è adesso la 6.1.6, mentre tutte le precedenti sono da considerare come a rischio. Nelle attività correlate alla gestione dei siti sviluppati con WordPress, ora più che mai, è necessaria una fitta attività di controllo su tutti i plugin e i temi che si installano, poiché essi rappresentano sempre un grosso fattore di rischio per la sicurezza. Non si hanno a disposizione dati riguardanti coloro che hanno già provveduto ad installare, ad esempio, la versione corretta di Advanced Custom Fields, ma molto spesso gli utenti non sono nemmeno a conoscenza di ciò che concerne la sicurezza dei loro plugin, lasciando potenzialmente agire indisturbati gli hacker. Questa tendenza è assolutamente da rovesciare, anche perché WordPress, da anni, vede aumentare il numero delle offensive ai backend ed ai siti dei suoi utenti anche in base al fatto che molto spesso quest’ultimi neanche si accorgono di cosa stia accadendo.

 

Fonte: 1