Torniamo nuovamente a dare aggiornamenti riguardanti le principali vulnerabilità segnalate sugli strumenti esterni che vengono installati sui siti sviluppati con CMS ed in particolare con WordPress. Questa volta parliamo di due plugin abbastanza utilizzati, anche se non è possibile avere i numeri esatti riferiti all’Italia. Ricordiamo, come faremo anche in chiusura, che queste notizie servono a diffondere il più possibile queste notifiche ed evitare la perdita di dati o del controllo dei siti ai proprietari dei portali.
Si parte con un primo aggiornamento dato da Wordfence in data 31 marzo, quando è stata notificata la presenza di una vulnerabilità piuttosto critica sul plugin WP Ultimate CSV Importer, uno strumento che, come si evince dal nome, permette di importare più comodamente elenchi csv dal backend WordPress. In particolare, questa falla di sicurezza consentirebbe, se sfruttata, il caricamento arbitrario di file così come la cancellazione degli stessi anche ad utenti autenticati con ruoli molto bassi come i semplici abbonati. Lo sfruttamento di questa falla ovviamente può portare anche all’eliminazione di un file importante come il noto wp-config.php, che se cancellato può portare i proprietari a perdere il sito per intero. Questa specifica falla, contrassegnata dal codice CVE-2025-2008, ha una criticità di 8,8, quindi alta mentre l’altra falla, quella che consente l’eliminazione dei file arbitraria, contrassegnata dal codice CVE-2025-2007, avrebbe una gravità di 8,1, sempre assai alta. Tutte e due le falle di sicurezza sarebbero presenti in tutte le versioni del plugin fino alla 7.19, ma il 25 marzo è stata rilasciata la versione 7.19.1 comprensiva di patch di sicurezza ed attualmente siamo alla versione 7.20.1, quindi non resta da fare altro che aggiornarla, visto che il problema coinvolge oltre 20.000 siti e potrebbe portare a seri problemi se sfruttato e a maggior ragione adesso che è stata diffusa la notizia della sua presenza.
Passiamo poi alla seconda vulnerabilità riscontrata sempre da Wordfence questa settimana, ovvero quella sul plugin Uncanny Automator, uno strumento che consente di rendere più fluide le funzioni del sito automatizzando vari fattori. Ebbene, su questo plugin, utilizzato da oltre 50.000 sviluppatori di siti su WordPress, all’inizio del mese di marzo è stato riscontrato un grosso problema di sicurezza, una falla che consente a coloro che si autenticano con bassi privilegi, anche in questo caso semplici abbonati, di avanzare senza problemi la loro posizione fino al ruolo di admin. Ovviamente questo comporta dei palesi rischi, ed è per questo che alla vulnerabilità, riconosciuta col codice CVE-2025-2075, è stata data una criticità pari a 8,8 su 10. L’unica notizia “positiva” (le virgolette sono d’obbligo) è che comunque per scalare i privilegi l’utente deve essere autenticato, ma è una magra consolazione. Ad ogni modo, le versioni coinvolte nella vulnerabilità sono tutte quelle esistenti fino alla 6.3.0.2, ma già dal giorno 1 aprile è disponibile la numero 6.4.0 comprensiva di patch di sicurezza. Anche in questo caso, essendo stata divulgata la notizia, è urgente la richiesta di installazione dell’aggiornamento, poiché lo sfruttamento della falla può avere gli effetti che abbiamo già visto abbondantemente.
In questo approfondimento abbiamo visto due esempi recenti di vulnerabilità legate al mondo di WordPress, che come sappiamo è composto da migliaia di plugin e quindi migliaia di potenziali forme di minaccia, ma questo è vero quasi sempre nel caso in cui non si presti attenzione a ciò che concerne la salute di questi strumenti, ovvero non aggiornandoli o non eliminandoli quando terminano il supporto. Questo deve servire da monito poiché ogni giorno vengono scoperte in tutto il mondo centinaia di falle di sicurezza, spesso legate, come vediamo, a strumenti aggiuntivi di CMS, che sono piattaforme comode ma che al contempo richiedono cura.
