WordPress: grave vulnerabilità sul plugin WP Fastest Cache

Sviluppando un sito con un CMS ci si trova anche ad utilizzare i plugin dei quali parliamo nelle guide e negli articoli di questo blog, soprattutto per quel che riguarda la piattaforma più nota di tutti, ovvero WordPress. I plugin sono strumenti sicuramente utilizzabili per facilitare operazioni che richiederebbero una maggior preparazione tecnica o una maggiore quantità di tempo. Come vediamo da tempo, le vulnerabilità possono colpire sia i CMS che, ovviamente, gli stessi strumenti aggiuntivi, ma l’importante è tenere sempre sotto controllo eventuali aggiornamenti e seguire le varie best practices per la gestione dei backend dei propri siti.

Il caso che portiamo all’attenzione oggi riguarda proprio uno dei plugin più utilizzati di WordPress, chiamato WP Fastest Cache, strumento che facilita il caricamento dei siti e la loro velocità. La pericolosità della falla, chiamata CVE-2023-6063 da MITRE, è stata quantificata con il punteggio di 8.6 su 10, che è particolarmente alto. Un altro elemento da tenere in forte considerazione è la diffusione di WP Fastest Cache, che risulta essere utilizzato su più di un milione di siti sviluppati con WordPress. Ciò significa che tale falla potrebbe impattare su un numero molto elevato di vittime se non si corre al riparo aggiornando il tutto.

Passando alla vulnerabilità, sembrerebbe che sfruttando la CVE-2023-6063 un malintenzionato possa bypassare i controlli sull’effettivo ruolo di amministratore dandogli quindi modo di inserire codice malevolo a suo piacimento. Oltretutto, sfruttando la falla di sicurezza un hacker potrà avere accesso anche al database del portale che utilizza una versione vulnerabile del plugin. Avere tali accessi darebbe modo di avere a propria disposizione elementi personali quali i nomi degli utenti, le password e tutto ciò su cui verte il funzionamento dell’intero backend e quindi del sito. Il grande problema di questa vulnerabilità, fanno sapere gli esperti di WPScan, è il fatto di non essere difficile da sfruttare e ciò alzerebbe di molto la probabilità di avere molti siti web già compromessi.

Gli sviluppatori di WP Fastest Cache tuttavia non sono stati certo a guardare ed hanno già rilasciato la versione 1.2.2 che risulta essere corretta e libera da questa falla, mentre tutte le precedenti sono verosimilmente in pericolo. Da ciò nasce la raccomandazione di un aggiornamento in tempi rapidi della propria versione, cosa che a quanto risulta è stata fatta solo per 400.000 siti circa, mentre i restanti sono ancora vulnerabili. Da qui si torna al punto sollevato all’inizio dell’articolo quando abbiamo fatto focus sulla scarsa velocità di molti utilizzatori di WordPress nel procedere agli update dei plugin utilizzati, cosa che mette a repentaglio ovviamente la salute, i dati ed anche l’indicizzazione dei siti web.

 

Fonte: 1