Torniamo di nuovo sull’argomento dei plugin per CMS e specialmente su strumenti utilizzati dagli utenti di WordPress, che come ripetiamo sempre è la piattaforma più usata da chi vuole pubblicare un sito, blog o portale e-commerce in modo facilitato ma che come tutti gli strumenti può presentare anche diverse insidie legati agli elementi esterni che vengono installati.
In questo approfondimento parliamo di un plugin, chiamato WPML (WordPress Multilingual) che consente a chi lo installa di creare in modo più facilitato più versioni diverse tradotte nelle lingue desiderate. Fondamentalmente, questo rapido traduttore appare come uno strumento di semplice utilizzo, tanto che è attualmente installato su oltre 1 milione di siti in WordPress, cosa che però rende pericolosa ogni scoperta di falle di sicurezza o vulnerabilità critiche. Questo è ciò che è accaduto a fine luglio 2024, quando per la prima volta è stata notificata agli sviluppatori di WPML la presenza di una vulnerabilità molto grave che consentirebbe ai malintenzionati l’esecuzione di codice remoto. Ciò significa che se fosse sfruttata questa falla di sicurezza può portare a diversi problemi come la perdita del controllo del sito, il redirect verso portali malevoli o il download di malware, ma anche molte altre criticità legate ai dati contenuti nei database dei portali colpiti.
La vulnerabilità è stata contrassegnata dalla sigla CVE-2024-6386 ed è stata giudicata con una criticità pari a 9.9/10, quindi molto critica, poiché può essere sfruttata passando dall’editor dei post da qualsiasi utente correttamente autenticato anche soltanto come contributore. Come dicevamo, la segnalazione è partita al termine di luglio ed i tecnici hanno recepito subito il messaggio, tuttavia la patch vera e propria è stata rilasciata solo in data 20 agosto. Le versioni coinvolte nel bug sono moltissime se si pensa che si tratta della 4.6.12 e tutte le precedenti, ma già dalla 4.6.13 la problematica sembra essere stata eliminata del tutto.
Considerando la pericolosità estrema di questa vulnerabilità è chiaramente necessario che tutti coloro che utilizzano il plugin WPML di WordPress, e sono tanti, si impegnino a controllare la presenza dell’aggiornamento e di effettuarlo al più presto. Oltretutto, per capire se non è stata sfruttata, è anche corretto fare un controllo nel proprio sito e nel proprio backend per vedere se c’è qualche elemento sospetto come, ad esempio, nuovi utenti non noti con privilegi alti.
Fonte: 1