Torniamo nuovamente a parlare di WordPress e, purtroppo, di problemi legati alla sua sicurezza, dopo che nei giorni scorsi Wordfence ha annunciato la scoperta di una falla di sicurezza piuttosto grave su un plugin molto utilizzato dagli utenti del noto CMS. Stavolta la vittima è Tutor LMS, un plugin che consente a chi lo installa di gestire i sistemi per l’e-learning sul proprio sito e metterli a disposizione degli utenti.
Durante il mese di febbraio alcuni ricercatori hanno scoperto che sulla versione 2.6.1 e precedenti di Tutor LMS era presente una vulnerabilità che avrebbe consentito un attacco SQL Injection a chi la avrebbe sfruttata. MITRE ha giudicato tale vulnerabilità con un punteggio di gravità molto alto, pari a 8.8, contrassegnando la falla col codice CVE-2024-1751. Sfruttando questa falla, gli utenti autenticati come studenti, semplici sottoscrittori o utenti con privilegi superiori avrebbero potuto aggiungere query SQL a quelle già presenti e, conseguentemente, esportare dati importanti dai DB. La situazione viene resa grave poiché tutti coloro che utilizzano il plugin, attualmente installato su più di 80.000 siti, se non muniti di strumenti di protezione possono vedere sferrare attacchi con effetti indesiderati molto gravi.
Gli sviluppatori del plugin si sono messi in moto in modo abbastanza rapido per mettere a posto la falla e ripristinare una situazione sicura, rilasciando la versione 2.6.2 che contiene la patch di sicurezza ed evita la prosecuzione del problema. La questione adesso è legata più alla nota “pigrizia” dei proprietari e gestori dei siti sviluppati con WordPress, spesso poco responsive per quel che riguarda la ricerca di aggiornamenti ai plugin e quindi alla loro installazione, cosa che mette a rischio tutti i portali ed i dati contenuti al loro interno. Il modo più sicuro per proteggersi da questo genere di attacco, oltre all’aggiornamento alla versione 2.6.2 del plugin, è anche quella di dotarsi di servizi di sicurezza adeguati, soluzioni spesso riscontrabili in modo abbastanza rapido ed a costi piuttosto accessibili.
Fonte: 1
