Anche per questo mese di maggio abbiamo esaminato tutti i report che vengono pubblicati tempestivamente sul portale WordFence.
Il portale, che fa capo a uno dei servizi che offrono sistemi di sicurezza ai siti web, raccoglie le segnalazioni che provengono da esperti che hanno rintracciato qualcosa che non va, dentro i componenti spesso molto utilizzati e molto diffusi proprio tra chi costruisce siti web con WordPress.
Le vulnerabilità peggiori di questo mese sono di vario tipo e tutte vanno risolte rapidamente. Se hai installato uno dei plugin che ti segnaliamo assicurati che la versione installata sul tuo sito sia la più recente, in modo tale da poter usufruire delle correzioni necessarie.
Vale infatti la pena ricordare che se, per pigrizia o per una svista, non vengono aggiornati i plugin che possono risultare vulnerabili si rischia moltissimo. Le vulnerabilità non sono infatti altro se non dei pertugi che gli sviluppatori dei plugin non si accorgono di lasciare aperti ma che criminali informatici spregiudicati possono invece rintracciare e utilizzare per compiere poi azioni criminali di vario tipo.
Se il tuo sito risulta compromesso, gli utenti che lo visitano sono poi in pericolo e, se dovesse succedere loro qualcosa, di certo la tua reputazione né risentirebbe negativamente.
La lista delle vulnerabilità WordPress di maggio
Il grado di pericolosità delle vulnerabilità che ti segnaliamo è variabile ma si tratta sempre di problemi seri o molto seri. Alcuni riguardano componenti che non si installano da soli ma che fanno parte di temi molto diffusi e molto utilizzati per la costruzione di siti web.
Contact Form Plugin by Fluent Forms
Questo plugin è utilizzato per costruire in modo facile quiz e sondaggi. La vulnerabilità che è stata riscontrata è presente in tutte le versioni fino alla 5.1.15. Per essere al sicuro, nel caso tu abbia deciso di utilizzare questo plugin per costruire quiz e sondaggi da sottoporre ai tuoi utenti devi quindi assicurati di avere almeno la versione 5.1.16.
WordFence classifica la minaccia con un 7.5 su 10 di tipo PHP Object Injection via extractDynamicValues. Questo tipo di vulnerabilità permette di inserire oggetti PHP da parte di agenti malevoli in possesso di credenziali di livello almeno contributor.
Per poter essere utilizzata e sfruttata, la falla deve anche essere individuata da un soggetto che possieda due permessi: view form e manage form. Come spiegato dagli esperti di WordFence, si tratta di un qualcosa che deve essere attivato dall’amministratore del sito ma in realtà, se si sfrutta un’altra vulnerabilità, può essere invece un requisito non necessario.
Penci Soledad Data Migrator del tema Soledad
Il tema Soledad è molto gettonato, soprattutto tra coloro i quali vogliono costruire un blog oppure un giornale online. Per questo tema è stato rintracciato un problema molto grave, classificato 9.8 su 10 da WordFence, che potrebbe mettere utenti malevoli anche non autorizzati nelle condizioni di inserire sul server su cui è appoggiato un sito costruito con Soledad file di ogni tipo.
Questo a sua volta potrebbe permettere l’esecuzione di qualunque tipo di codice PHP. La vulnerabilità è quindi giustamente classificata come molto grave dato che permette, nella pratica, di poter entrare in possesso di tutti i dati sensibili, degli eventuali file caricati e addirittura di sostituirli con file malevoli.
Tutor LMS
Questo plugin è stato segnalato perché affetto da diverse vulnerabilità, tutte classificate di livello alto o molto alto. C’è per esempio un allarme per una mancanza di autorizzazione che potrebbe consentire l’accesso non autorizzato, la modifica o la cancellazione dei dati. Un’altra vulnerabilità riguarda la possibilità di una SQL Injection attraverso il parametro “year”.
Terza vulnerabilità riguarda un’altra SQL Injection attivabile, stavolta però, solo da utenti malevoli in grado di ottenere le credenziali di accesso, attraverso il parametro ‘question_id’. Per risolvere tutte queste vulnerabilità è necessario aggiornare il plugin alla versione 2.7.1.0.
LearnPress – WordPress LMS Plugin
Questo plugin è segnalato come affetto da una vulnerabilità di livello critico per la neutralizzazione non adeguata gli elementi speciali attraverso il comando SQL. In particolare tutte le versioni fino alla 4.2.6.5 mancano di difese sufficienti per evitare la SQL injection da parte di utenti malevoli non autorizzati che potrebbero così aggiungere query SQL a quelle già in atto da utenti innocui e carpire così le informazioni sensibili presenti nei database. La versione aggiornata è la 4.2.6.6.
Tema Porto
All’interno del tema Porto il plugin Functionality è affetto da una Local File Inclusion via Post Meta, che può essere eseguita da utenti malevoli autenticati. Gli agenti malevoli, in possesso di credenziali di livello contributor, potrebbero inserire sul server file pericolosi e consentire così l’esecuzione di codice PHP.
Un attacco costruito in questo modo può mettere i criminali in condizione di bypassare i controlli di accesso e quindi raggiungere facilmente i dati sensibili degli utenti. La versione aggiornata in cui è stato corretto il problema, segnalato con un 8.8 su 10 da WordFence, è la versione 3.1.0.
AI Engine: ChatGPT Chatbot
Questo plugin, che è stato installato già oltre 70 mila volte, è un plugin che ovviamente capitalizza sull’interesse per le intelligenze artificiali. Attraverso AI Engine è possibile per esempio creare un proprio chatbot e lavorare con un assistente virtuale per avere traduzioni, correzioni, analisi SEO e suggerimenti.
Secondo quanto riportato da WordFence, però, è affetto da una vulnerabilità di tipo Arbitrary File Upload. Questa vulnerabilità, classificata con 9.1 su 10, potrebbe consentire a utenti in possesso di credenziali di livello editor e superiore di caricare file a piacimento sul server e portare quindi anche all’esecuzione remota di codice malevolo. La versione affetta dalla vulnerabilità è la 2.2.63. Per poter stare al sicuro, se hai deciso di implementare questo plugin, devi scaricare la versione 2.2.70.
Unlimited Elements for Elementor
Un altro plugin molto diffuso, Unlimited Elements for Elementor è risultato affetto da una vulnerabilità classificata con 8.8 su 10 da WordFence. La tipologia di vulnerabilità è Remote Code Execution via template import. Come spiegato dagli esperti, si tratta di una vulnerabilità che potrebbe consentire ad un utente malevolo in possesso di credenziali livello contributor o superiori di eseguire codice a livello server. La versione affetta dalla vulnerabilità è la 1.5.89 mentre la versione sicura è la 1.5.91.
HT Mega – Absolute Addons For Elementor
Un altro plugin per Elementor, HT Mega, è risultato affetto da una vulnerabilità di tipo Directory Traversal. La vulnerabilità è classificata con 8.8 su 10 e consente a utenti autenticati, che abbiano credenziali di livello contributor o superiore, di leggere i contenuti di tutti i file che si trovano sui server. Anche se la vulnerabilità permette a quanto pare solo la lettura dei dati presenti sui file, è comunque molto importante e devi provvedere a installare la versione più recente del plugin, la numero 2.4.7. La possibilità di leggere i dati significa infatti che è comunque possibile estrapolarli anche se non direttamente.
Search & Replace
Questo plugin è affetto, come altri che abbiamo visto da una vulnerabilità di tipo SQL injection. La pericolosità è classificata con 7.2 su 10. Può essere espletata attraverso il parametro select_tables ed è presente su tutte le versioni fino alla 3.2.1. Per essere al sicuro, quindi, è necessario aggiornare alla versione 3.2.2. Come altre minacce SQL, utenti malevoli in possesso di credenziali con livello amministratore possono aggiungere query SQL a quelle già in atto sul sito e utilizzarle per estrapolare i dati sensibili degli utenti.
WP STAGING WordPress Backup Plugin
Nella nostra carrellata, l’ultimo plugin affetto da una vulnerabilità importante è WP Staging. Si tratta di un plugin affetto da Arbitrary File Upload. Utenti malevoli, in possesso di credenziali di accesso di livello admin o superiore, possono scaricare file a piacimento e in questo modo interferire con le funzionalità del server o addirittura attivare l’esecuzione di codice da remoto. Questa vulnerabilità è per questo segnalata con un 9.1 su 10. Le versioni in cui è presente la vulnerabilità sono tutte fino alla 3.4.3 ed è per questo che occorre aggiornare alla versione 3.5.0.