Per mantenere il proprio sito web al sicuro occorre essere sempre vigili quando vengono diffusi gli alert relativi alle vulnerabilità che possono essere state riscontrate nei plugin o direttamente all’interno della struttura che utilizzi.
Nel corso delle ultime settimane sono arrivate diverse segnalazioni e questo significa che ci sono molti siti WordPress a rischio. I problemi sono legati a tre plugin che sono risultati affetti da problemi estremamente delicati in termini di potenziale distruttivo. Cominciamo con la vulnerabilità che rischia di esporre il numero più alto di siti WordPress.
Il conosciutissimo plugin Forminator ha un problema, 600.000 siti WordPress a rischio
Uno tra i plugin più utilizzati c’è Forminator. Si tratta di un sistema che consente di costruire qualunque tipologia di form, da quelli di contatto a quelli di pagamento, il tutto in una maniera assolutamente versatile e personalizzabile.
Chiaramente questo lo ha portato ad essere ampiamente diffuso, motivo per cui una qualunque vulnerabilità all’interno di un plugin con 600.000 installazioni attive è una vulnerabilità che rischia di mandare in crisi una parte cospicua della rete.
A scoprire la vulnerabilità è stato un utente che ha segnalato il problema attraverso il bug bounty program di Wordfence e che ha ricevuto così una taglia di 8.000 dollari.
Come sottolineato da Wordfence, si tratta della taglia più sostanziosa che il portale specializzato in sicurezza abbia mai elargito. A segnalare come la vulnerabilità, nella sua pericolosità, unita al plugin in cui è stata riscontrata siano davvero un problema su vasta scala. Ma che cosa si nasconde dentro questo plugin che lo rende pericoloso?
Si tratta di una vulnerabilità che può consentire a utenti malevoli senza credenziali di inserire percorsi a file arbitrari all’interno dei form, un inserimento che può portare anche alla cancellazione dei file stessi.
L’inserimento di percorsi a file diversi da quelli che dovrebbero essere inseriti nei form può trasformarsi tranquillamente anche in un’esecuzione di codice da remoto.
E per esempio, questo è lo scenario peggiore immaginato dal portale, potrebbe addirittura essere cancellato il file wp-config.php innescando l’esecuzione di codice da remoto.
Il problema è stato risolto e ora è disponibile la nuova versione di Forminator in cui la vulnerabilità è stata risolta. Se anche tu utilizzi questo popolare plugin per costruire i tuoi form, assicurati quindi di avere installata la versione 1.44.3.
AI Engine, un altro plugin pericoloso
Un altro plugin che è risultato affetto da una vulnerabilità è in realtà un plugin che a quanto pare nel corso degli ultimi mesi ha dato più di qualche noia.
Il plugin si chiama AI Engine e siamo arrivati alla quinta vulnerabilità con la prima a giugno e tutte le altre nel corso delle ultime settimane. Queste vulnerabilità si uniscono alle altre nove del 2024, molto spesso classificate da Wordfence come estremamente pericolose. Di che cosa si tratta quindi stavolta?
Siamo di fronte ad un’altra vulnerabilità che permette il caricamento di file ma ad utenti in possesso di credenziali. Questo però non rende la vulnerabilità meno pericolosa e infatti Wordfence le ha attribuito il valore di 8.8 su 10. Basta però riuscire ad avere le credenziali di subscriber per poter sfruttare la falla.
Il problema viene dalla mancanza di validazione della tipologia di file in una funzione che ha a che fare con la REST API.
Anche in questo caso la possibilità di caricare file potrebbe portare anche all’esecuzione di codice da remoto. Per fortuna gli sviluppatori di AI Engine hanno aggiornato il plugin e per avere la versione priva di questa vulnerabilità occorre scaricare la numero 2.9.5 o qualunque sia la versione più recente disponibile.
Post SMTP Plugin, un problema per 200.000 siti WordPress
L’ultima vulnerabilità che segnaliamo oggi riguarda circa 200.000 siti WordPress che hanno installato il plugin Post SMTP. Questo plugin è piuttosto conosciuto perché estremamente comodo. Permette infatti di gestire l’invio di email senza troppi problemi attraverso tutti i principali provider.
La vulnerabilità era stata scoperta nel mese di maggio e segnalata. L’11 giugno è stata diffusa la nuova versione ma a quanto pare circa la metà dei 400.000 siti WordPress che utilizzano il plugin Post SMTP non hanno ancora effettuato l’aggiornamento. Ed è per questo che abbiamo deciso di segnalare il problema all’interno di questo elemento accessorio.
Che cosa può succedere se non viene aggiornato il plugin? Il rischio è di nuovo legato alla REST API che non controlla le credenziali degli utenti che fanno login.
Come per AI Engine, quindi, il problema è piuttosto serio in quanto un utente con credenziali di livello base, per esempio livello subscriber, potrebbe tranquillamente eseguire un reset delle credenziali di accesso dell’amministratore del sito, intercettare quelle che sono le email che vengono inviate in automatico da WordPress quando le credenziali sono modificate utilizzando lo stesso plugin e poi eseguire quindi il cambio senza che nessuno possa accorgersene in tempo.
Preso il controllo del sito, è chiaro che anche un sito web legittimo può diventare una trappola.
È importante quindi installare la versione più recente ovvero la versione 3.3.0. e la percentuale di siti che non sono ancora stati aggiornati ci dice anche che non bisogna fare affidamento solo sugli aggiornamenti automatici perché potrebbero, per qualunque motivo, non funzionare e, nel caso non dovessero funzionare, è chiaro che il tuo sito WordPress verrebbe esposto a inutili pericoli. E in caso di anomalie ricorda sempre anche i nostri servizi di manutenzione e assistenza.
