WordPress: più di 500.000 siti a rischio per un bug su un noto plugin

Purtroppo i casi di vulnerabilità che mettono a rischio interi siti sviluppati con i più noti CMS non accennano a placarsi, specie per quel che riguarda WordPress, la piattaforma più utilizzata al mondo per creare portali in modo semplificato. La nuova problematica è uscita pochissimi giorni fa e riguarda un tool chiamato Forminator, utile alla creazione facilitata di form e di molti altri elementi di un sito web, sul quale è stata scoperta una vulnerabilità classificata come molto grave e dall’impatto potenzialmente molto alto.

Ad aumentare la pericolosità del bug c’è anche il numero di siti sui quali viene utilizzato per la creazione di campi da compilare, ad esempio, anche per procedere ai pagamenti, nei casi di portali e-commerce. Tale numero ammonterebbe ad oltre mezzo milione di siti web, i cui creatori dovranno provvedere in modo molto urgente all’installazione della patch già rilasciata. Andando per gradi, la vulnerabilità riscontrata poche settimane fa, denominata CVE-2024-28890 da MITRE, che le ha dato anche un punteggio di 9.8, riguarda alcuni problemi nel caricamento di file, che nella versione ancora da aggiornare consentirebbe di effettuare l’upload anche di file dannosi senza alcun controllo. Un agente malevolo, in questi casi, può sfruttare la falla per effettuare diverse operazioni malevole, che possono portare come abbiamo già anticipato anche alla perdita del controllo del sito web da parte dei legittimi proprietari.

Questa problematica riguarderebbe tutte le versioni del plugin fino alla 1.29.0 e fa compagnia ad altre due criticità, denominate rispettivamente CVE-2024-31077 e CVE-2024-31857, che consentirebbero, rispettivamente, di evitare i controlli ed effettuare SQL Injection e Cross Site Scripting. Nei giorni immediatamente successivi alla scoperta della vulnerabilità più preoccupante pare che non sia stato segnalata alcuna violazione mediante lo sfruttamento di quest’ultima, ma è assolutamente necessario aggiornare alla versione 12.9.3 il plugin per non rischiare nulla. Secondo i ricercatori, delle centinaia di migliaia di utenti di Forminator siano ancora 320.000 quelli scoperti e quindi a rischio.

Ancora una volta l’attenzione verso i propri portali si rivela un’arma principale per la loro protezione, questo perché le vulnerabilità sono all’ordine del giorno e chi si occupa dei siti deve anche controllare spesso se esistono nuove versioni per gli strumenti installati su quest’ultimi. Questo migliora la salute del sito e la reputazione che i portali hanno sul web, visto che un sito non seguito o che presenta qualche problematica scende anche nel ranking dei motori di ricerca.

 

Fonti: 1, 2