WordPress: grave vulnerabilità nel plugin GiveWP

Torniamo dopo pochissimo tempo a parlare di una nuova falla di sicurezza riguardante in questo caso un plugin di WordPress, ovvero uno strumento aggiuntivo sviluppato da produttori esterni che consente di gestire le raccolte fondi, ovvero GiveWP. Questo componente aggiuntivo è particolarmente apprezzato da coloro che vogliono tirare su denaro per i propri progetti o per donazioni a scopo benefico dando modo di creare una vera e propria raccolta all’interno del sito nel quale viene installato. Oltre alla creazione, GiveWP dà ovviamente anche modo di seguire l’andamento della campagna e monitorare tutti i dati per poterla rivedere o reimpostare e farla essere più redditizia.

È di pochi giorni fa, tuttavia, la notizia di una grossa vulnerabilità per GiveWP che consentirebbe a malintenzionati, se sfruttata, la cosiddetta PHP Object Injection, ovvero l’inserimento di oggetti PHP malevoli mirata in questo caso a dare la possibilità di eseguire codice remoto malevolo all’interno dei portali colpiti, tutto questo bypassando l’autenticazione. Il codice associato a questa vulnerabilità è CVE-2024-5932 ed è stato dato un punteggio di 10/10 alla sua gravità, indicata come critica. Il fatto che possa potenzialmente colpire oltre 100.000 siti sui quali è stato installato GiveWP e che la vulnerabilità si trovi in tutte le versioni fino alla 3.14.1 fa rendere conto di quanto potenzialmente alto sia il rischio.

Una delle cose più gravi di questa falla di sicurezza è che il problema è stato riscontrato addirittura a maggio e, dopo altre verifiche in giugno, i tecnici sviluppatori di GiveWP non hanno risposto alle diverse segnalazioni inviate dagli esperti con l’aggiunta anche di report affidabili. In assenza di riscontri, la vicenda è passata in mano al team di sicurezza di WordPress, che in qualche maniera deve aver fatto arrivare la segnalazione a chi di dovere ed infine, nel mese di agosto, dopo un mese, è stata rilasciata la versione aggiornata e patchata. Ovviamente è strettamente necessario che tutti coloro che utilizzano o che semplicemente hanno installato GiveWP all’interno del proprio backend di WordPress provvedano al download ed all’installazione della versione 3.14.2 del plugin, per evitare di incorrere in problematiche molto gravi.

Questo perché lo sfruttamento della falla può far sì che gli hacker possano impossessarsi non solo del sito e dei suoi contenuti, ma anche di tutti i dati all’interno del database di GiveWP, che essendo un plugin improntato sulla raccolta di soldi contiene tra le sue informazioni anche tutto ciò che riguarda i metodi di pagamento degli utenti che hanno donato. È la seconda volta in pochi giorni che vediamo vulnerabilità critiche contrassegnate da punteggi massimi, segno che i CMS, sebbene siano strumenti semplici da utilizzare, possono ancora costituire un importante veicolo di minacce. Proprio per questo motivo rinnoviamo sempre e costantemente il consiglio di mantenere sempre l’attenzione alta su tutto ciò che riguarda lo sviluppo dei propri siti con CMS, che si tratti di WordPress, di Joomla! o qualsiasi altra piattaforma, poiché l’incuria può portare come abbiamo visto anche oggi anche a grossissime difficoltà.

 

Fonte: 1