Dopo aver introdotto le principali novità della versione 6.9 di WordPress torniamo ad occuparci della sicurezza dei plugin esterni del noto ed utilizzatissimo CMS, che come ripetiamo spesso sono strumenti ottimi per la facilitazione delle operazioni di sviluppo ma possono sempre riservare qualche insidia. Queste problematiche ovviamente sono spesso di facile risoluzione, sempre che i produttori siano proattivi e provvedano velocemente a rilasciare le versioni aggiornate, come accade spesso, ma soprattutto che gli utilizzatori degli stessi poi provvedano ad installarli.
Scendendo nel dettaglio, il plugin in questione è abbastanza noto nel mondo degli utenti del CMS, si tratta di Advanced Custom Fields Extended, strumento che consente di creare campi personalizzati sul proprio portale e che però non va assolutamente confuso con Advanced Custom Fields, che conta oltre 2 milioni di installazioni a fronte delle 100.000 circa del protagonista del nostro approfondimento. Ebbene, su questo plugin è stata riscontrata una grave falla di sicurezza, contrassegnata dal codice CVE-2025-13486 oltre che da un punteggio di criticità pari a 9,8 su 10, cosa che rende necessario un intervento piuttosto rapido. Sul plugin Advanced Custom Fields Extended, a partire dalla fine del mese di novembre è stata scoperta una falla di sicurezza che consentirebbe ad utenti malintenzionati l’esecuzione di codice remoto, cosa che, come sappiamo, può portare anche alla perdita totale dei siti web.
A differenza di ciò che accade più spesso, il problema di sicurezza è stato riscontrato “solo” su alcune versioni del plugin, ovvero quelle che vanno dalla 0.9.0.5 alla 0.9.1.1, ed ovviamente la vulnerabilità è riferita ai campi che vengono creati dal plugin, che consentirebbero anche ad aggressori non autenticati di eseguire codice, un’operazione che può portare poi a gravi problematiche quali la creazione di backdoor e soprattutto di nuovi utenti anche con funzione admin. Il fatto che sia su poche versioni non deve abbassare il livello d’allarme, poiché il plugin è pur sempre utilizzato da oltre 100.000 siti, sui quali deve essere installata con grande urgenza la versione patchata, ovvero la 0.9.2, rilasciata solo pochi giorni dopo la segnalazione della falla, cosa molto importante da sottolineare in positivo. C’è da aggiungere infine che nei giorni immediatamente successivi Advanced Custom Fields Extended è stato nuovamente aggiornato e la versione attualmente disponibile è la numero 0.9.2.1.
Il fatto che una vulnerabilità, come in questo caso, sia ridotta a un numero circoscritto di versioni non deve portare ad avere un approccio più morbido o meno preoccupato riguardo alla problematica stessa. Questo perché innanzitutto se non vengono impostati gli aggiornamenti automatici dei plugin, azione che va comunque effettuata responsabilmente, non si saprà mai con certezza qual è la versione utilizzata fin quando non si entra nel backend di WordPress per controllare. Oltretutto conta sempre più la criticità rispetto alla quantità delle versioni coinvolte, ed in questo caso come abbiamo visto siamo quasi al livello più alto di guardia, quindi se usiamo questo plugin e se conosciamo anche gli utenti che lo usano è importantissimo che venga aggiornato. Questo oltretutto, come sottolineiamo sempre con forza, a seguito dell’uscita della notizia riguardante la vulnerabilità, che sicuramente porterà gli hacker a provare a sfruttarla.
Fonte: 1
