Tornano i nostri aggiornamenti sui problemi di sicurezza legati al CMS WordPress ed ai suoi plugin, installabili gratuitamente da ogni utente ma spesso anche “upgradabili” a pagamento per avere più features sbloccate, che pur essendo strumenti utili possono, come sappiamo, portare a qualche problemino se non vengono gestiti in modo corretto. Come al solito, in casi riferiti a vulnerabilità riscontrate su sistemi inerenti a WordPress ci sono dei fattori che, di base, sono determinanti per il mantenimento di uno stato di salute dei siti ottimale. Il primo è sicuramente quello che riguarda gli sviluppatori del plugin, che non possono creare un prodotto perfetto al 100% e che quindi, qualora venissero riscontrate e segnalate delle falle di sicurezza devono essere ricettivi e proattivi per cercare la soluzione ai problemi. Il secondo fattore è quello invece riferito agli utenti che utilizzano i sistemi WordPress per creare i loro siti, o comunque coloro che si occupano di questo compito, che devono mantenere sempre l’attenzione alta su aggiornamenti e patch di sicurezza di tutti gli strumenti ma anche dello stesso CMS, operazioni che si devono assolutamente fare e oltretutto in un certo modo.
Fatto questo dovuto preambolo, è il momento di parlare della vulnerabilità della quale si fa riferimento anche nel titolo dell’articolo, ovvero quella riscontrata sul plugin AI Engine, segnalata qualche giorno fa da Wordfence, che può mettere in pericolo tantissimi utenti di WordPress. La falla, spiegano gli esperti, è stata identificata inizialmente intorno al 21 maggio, quando è stato notato che su AI Engine era presente una problematica che avrebbe consentito l’escalation dei privilegi anche a coloro che erano autenticati soltanto come abbonati dando modo di arrivare anche al livello admin. La falla riscontrata è stata contrassegnata dalla sigla CVE-2025-5071 ed ha una gravità pari a 8,8 su 10, quindi di livello appena sotto la soglia di criticità.
Ci sono tuttavia diverse buone notizie, a partire dalle versioni che presentano la falla CVE-2025-5071, che sarebbero solo quelle dalla 2.8.0 alla 2.8.3 e, soprattutto, la criticità maggiore potrebbe essere riscontrata solo da coloro che hanno abilitato gli strumenti per sviluppatori e il modulo MCP (Model Context Protocol) dalle impostazioni del plugin, un elemento che di default viene lasciato disabilitato. Un’altra buona novità, per restare nel solco della lunga introduzione fatta all’articolo, è la velocità di risposta del team di sviluppo di AI Engine, questo perché Wordfence fa sapere che a seguito della segnalazione, avvenuta il 21 maggio 2025, la prima risposta è arrivata in meno di un’ora, un fatto che dimostra la tanto necessaria proattività di alcune aziende.
Il 18 giugno è uscita la versione del plugin contenente la patch di sicurezza che pone fine al problema riscontrato nelle scorse settimane, ma è necessario che, anche se abbiamo visto che i rischi non riguardano verosimilmente la totalità degli utenti, si provveda quanto prima all’installazione di AI Engine 2.8.4, anche perché questo plugin non è scarsamente utilizzato ed ha oltre 100.000 utenti. La cosiddetta Privilege Escalation, alle potenziali vittime, può costare come al solito una serie di problemi quali la perdita totale del controllo del sito, la fuga di dati, i redirect verso siti malevoli e molto molto altro. Come ricordano sempre anche gli esperti di cybersicurezza, pertanto, se si utilizza AI Engine o se comunque conosciamo qualcuno che lo usa è strettamente necessario indicargli di applicare la patch e passare alla versione 2.8.4, poiché il suo sistema potrebbe essere in serio pericolo.
Fonte: 1
