Torniamo a trattare temi riguardanti la sicurezza dei CMS ed in particolare di WordPress, che come ripetiamo ogni volta è largamente il più utilizzato al mondo per creare in modo facilitato il proprio blog, sito web o portale e-commerce. Per dare un’idea dell’utilità di dare informazioni continue sulle vulnerabilità riscontrate sui plugin più o meno noti ma comunque installati su migliaia (quando va bene), basti pensare che esistono tutt’ora tantissimi siti web che ancora utilizzano plugin con vulnerabilità con criticità 9.9 riscontrate nel 2023 e non sanate, anche a causa della mancata cura del proprio spazio hosting e quindi, ad esempio, di versioni vecchie di PHP. Senza dilungarsi su cosa significa questa mancanza di aggiornamento e di cura, è chiaro che se queste vulnerabilità vengono sanate dai produttori dei plugin ma non vengono installate le patch di chi li utilizza è possibile che singoli siti o interi server vengano presi di mira con conseguenze anche catastrofiche.
Passando al caso del giorno vediamo cosa è stato scoperto per un plugin chiamato Quiz And Survey Master Plugin, che viene utilizzato come si può intuire dal nome per creare con facilità dei quiz all’interno del proprio sito. Questo plugin è anche abbastanza celebre visto che è stato installato su oltre 40.000 siti, cosa che, in caso di sfruttamento della falla, esporrebbe altrettanti sviluppatori a grossi problemi. Sembra che la versione 10.3.1 e tutte le precedenti siano esposte al rischio di SQL injection, vulnerabilità che consente, a chi la sfrutta, di “iniettare” comandi malevoli all’interno del database del sito. Questa falla sarebbe accessibile a tutti coloro che si autenticano all’interno del sito con gradi molto bassi di privilegi, visto che è sufficiente essere sottoscrittori o abbonati. Oltre a poter iniettare codice malevolo è chiaro che avere accesso al DB ed estrarre informazioni di ogni genere, ad esempio tutta la lista dei clienti se abbiamo un portale e-commerce.
Tutte le chiamate ai DB hanno la potenzialità di essere un pericolo, così come un utente può dare input poco affidabili, questo può portare ovviamente a grossissimi problemi, come ad esempio la modifica dei dati degli utenti del sito o la loro cancellazione, cosa che poi porta chiaramente alla sostituzione degli admin ed al furto totale del portale. Alla vulnerabilità è stato assegnato il codice CVE-2025-67987 con una criticità molto alta, pari ad 8,5 su 10, mentre per correre ai ripari l’azienda che sviluppa il plugin Quiz And Survey Master ha provveduto in tempi piuttosto rapidi a distribuire la versione 10.3.2 che sembra aver sanato il problema. La versione attuale del plugin, dando un’occhiata alla pagina dedicata all’interno del sito di WordPress, è la 10.3.5, questo dimostra che è uno strumento sul quale viene dedicata attenzione da parte della casa produttrice.
Chiudiamo il cerchio di questo breve approfondimento per consigliare ovviamente a tutti coloro che usano Quiz And Survey Master di provvedere ad aggiornarlo alla versione più recente e di diffondere la notizia anche ad altri utenti, mentre sottolineiamo ancora una volta quanto la cura dei propri siti web sia importante aggiungendo che questo discorso vale anche per coloro che sviluppano siti per i propri clienti, magari su server di loro proprietà. Il mancato aggiornamento dei propri strumenti può portare a conseguenze molto importanti, specie quando vengono rimandati per anni restando indietro con le versioni di PHP, di WordPress, dei plugin o semplicemente dei sistemi operativi dei server.
Fonte: 1
