Torniamo dopo qualche tempo a parlare di vulnerabilità collegate a strumenti aggiuntivi del CMS più noti, che come sappiamo possono contenere una lunga serie di problematiche spesso anche fatali. In questo approfondimento vedremo una falla di sicurezza che colpisce in primis WordPress ma più nel particolare un suo plugin che può essere considerato a tutti gli effetti un “sotto-CMS”, vale a dire WooCommerce, piattaforma sulla quale gli utenti del web basano i loro siti e-commerce e per il quale esiste una lunga serie di ulteriori plugin.
Il team di Wordfence nei giorni scorsi ha diramato un’allerta piuttosto importante poiché sugli strumenti InPostPL e InPost di WooCommerce è stata scoperta una falla di sicurezza che consentirebbe ad utenti malintenzionati ed a conoscenza della vulnerabilità di entrare nei backend senza autenticazione la lettura e la cancellazione di file arbitrari come ad esempio wp-config.php, cosa che può portare alla perdita di controllo dei siti web e dei dati al loro interno oltre alla esecuzione da remoto di codice. La problematica, contrassegnata dal codice CVE-2024-6500, riguarderebbe rispettivamente i 7000 siti con InPost PL ed i 3000 siti con InPost, ed è stata segnalata già nello scorso luglio. Il punteggio sulla criticità della vulnerabilità invece è di 10 su 10, pertanto la situazione è certamente delicata.
Le versioni vulnerabili dei due plugin sono la 1.4.0 di InPost e la 1.4.4 della versione PL, ma le modalità di protezione divergono, poiché il primo dei due plugin è stato rimosso dal catalogo e nonostante ciò permane installato su diversi backend. Per InPost PL è stata invece rilasciata la versione aggiornata 1.4.5 per rimediare al problema e gli utenti coinvolti devono provvedere ad installarla quanto prima. Facendo un passo indietro è essenziale riflettere nuovamente sulla totale mancanza di cura di taluni sviluppatori per quel che riguarda l’utilizzo di strumenti esterni e per questo pericolosi, senza preoccuparsi della mancanza di aggiornamenti e di seguito da parte delle case produttrici. Nel caso di InPost, a seguito delle segnalazioni gli sviluppatori di WordPress lo hanno prontamente rimosso l’8 agosto scorso, probabilmente anche per la mancanza di risposte certe su un eventuale aggiornamento dello strumento.
Nella speranza, visti i numeri non troppo elevati rispetto al totale della community di utilizzatori di WooCommerce, di una scarsa quantità di attori malevoli che sfruttino la vulnerabilità è importante come sempre ricordare di tenere sempre sotto controllo lo stato di salute del proprio sito e soprattutto dei plugin che si installano.
Fonte: 1