Torniamo a raccontare i dettagli di una nuova vulnerabilità riscontrata su uno strumento aggiuntivo del CMS più utilizzato dagli utenti di tutto il mondo, ovvero WordPress. Come sappiamo e come ripetuto più e più volte le notizie sulle falle di sicurezza riscontrate sugli strumenti interni e soprattutto esterni a questa piattaforma sono all’ordine del giorno e da un certo punto di vista fanno anche parte del gioco. La differenza la fanno vari fattori in certi casi, in primis la responsività degli sviluppatori alle segnalazioni di coloro che notano le problematiche di sicurezza, quindi anche la rapidità di pubblicazione delle patch di aggiornamento. Ma in secondo luogo, è fondamentale anche la velocità da parte di coloro che WordPress lo utilizzano, che devono essere attenti a tutte le nuove release ed a tutti gli aggiornamenti dei plugin, tenendosi da parte delle copie di backup o delle snapshot dei siti per tornare indietro in caso di eventuali problemi di compatibilità.
Passando alla vulnerabilità che raccontiamo in questo articolo, in data 19 novembre è stata notificata da CSIRT, ovvero il Computer Security Incident Response Team che risponde ad ACN, una vulnerabilità di tipo critico presente su un plugin chiamato W3 Total Cache, o W3TC, strumento che aiuta per la SEO dei siti e per la velocità degli stessi. Più specificatamente, sfruttando questa falla un utente malevolo potrebbe essere in grado di eseguire comandi PHP per pubblicare commenti con payload dannosi. Questa vulnerabilità è stata identificata con il codice CVE-2025-9501 con una criticità pari a 9 su 10 e riguarda tutte le versioni del plugin a partire fino alla 2.8.13, mentre le è stata data l’etichettatura di una problematica di tipo command injection.
I problemi correlati allo sfruttamento della falla di sicurezza sono diversi, a partire dall’ampia platea potenzialmente in pericolo, visto che questo strumento è installato su oltre un milione di siti. Prendendo il controllo dei siti, gli hacker sarebbero poi in grado di effettuare alcune operazioni malevole di vario tipo senza nemmeno doversi autenticare, a differenza di ciò che succede con altre falle di sicurezza. In questo caso si è deciso poi di agire diversamente dalle altre volte, probabilmente anche in base alla ampio numero di siti potenzialmente coinvolti, questo perché di solito gli esperti pubblicano il cosiddetto exploit Proof of Concept (ovvero una sorta di penetration test che certifica la vulnerabilità) e immediatamente comincia lo sfruttamento dei problemi di sicurezza, mentre questa volta hanno voluto evitare problemi e l’exploit PoC verrà pubblicato solo il 24 novembre.
La motivazione risiede nel fatto che è stata rilasciata una patch di aggiornamento in tempi piuttosto rapidi, ovvero la versione 2.8.13, ma al momento sembra che nemmeno la metà di coloro che utilizzano W3TC non l’ha ancora installata. La mancanza di aggiornamento e la pubblicazione dell’exploit PoC potrebbero seriamente mettere in pericolo tantissimi siti, pertanto è corretto innanzitutto comunicare tutti questi problemi a più persone possibile, invitando coloro che utilizzano questo plugin a correre ai ripari, installando anche la versione 2.8.14, già pubblicata. Coloro che invece non hanno la possibilità di aggiornare per qualsiasi motivo il plugin farebbero meglio a disattivarlo insieme ai commenti, che possono portare ai payload malevoli precedentemente citati.
