Due gravi falle di sicurezza stanno interessando contemporaneamente l’ecosistema WordPress e i browser basati su Chromium, esponendo milioni di utenti e siti web a rischi concreti. Il primo caso riguarda il plugin Anti-Malware Security and Brute-Force Firewall, mentre il secondo coinvolge un bug DoS nel motore Blink di Chrome e dei browser derivati. Entrambe le vulnerabilità mostrano quanto sia fragile la sicurezza digitale in un contesto dominato da software open-source e componenti condivisi.
Cosa leggere
Vulnerabilità in plugin WordPress
Secondo Wordfence, la falla scoperta nel plugin Anti-Malware Security and Brute-Force Firewall consente a utenti non autenticati di leggere file arbitrari all’interno del sito WordPress, inclusi file sensibili come wp-config.php, che contengono le credenziali del database. Il bug, identificato fino alla versione 4.22.8, interessa oltre 100.000 installazioni attive. Wordfence ha assegnato alla vulnerabilità il codice CVE-2025-12345, classificandola ad alta severità. Il problema nasce da un errore di sanitizzazione dell’input nella funzione di visualizzazione dei log del firewall: gli attaccanti possono inviare richieste manipolate per ottenere accesso non autorizzato ai file del server. Gli exploit rilevati permettono di compromettere completamente un sito, con potenziali conseguenze sulla sicurezza dei dati personali e finanziari degli utenti. Il team di sviluppo GOTMLS ha rilasciato la patch 4.22.9, già disponibile sul repository ufficiale di WordPress. L’aggiornamento corregge il bug tramite una validazione rigorosa dei percorsi e il blocco delle richieste non conformi. Wordfence raccomanda di aggiornare immediatamente il plugin e di eseguire scansioni di sicurezza per verificare eventuali compromissioni. In caso di anomalie, è consigliato modificare le password del database e controllare i log di accesso. La vulnerabilità conferma l’importanza di mantenere aggiornati i componenti WordPress: con il 43% dei siti web globali basati su questa piattaforma, un singolo plugin vulnerabile può avere impatti su scala planetaria. Wordfence ha inoltre segnalato un picco di attività botnet che tentano di individuare versioni obsolete del plugin per sfruttare la falla in modo automatico.
Attacco DoS su browser Chromium
Parallelamente, il ricercatore Jose Pino ha scoperto un difetto nel motore Blink che alimenta i browser basati su Chromium — tra cui Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc. Il bug, denominato Brash, consente di provocare un arresto immediato del browser semplicemente visitando una pagina web malevola. Il problema, introdotto dalla build 143.0.7483.0, deriva dall’assenza di un meccanismo di rate limiting negli aggiornamenti della proprietà document.title di una pagina web. Un JavaScript appositamente costruito può saturare il thread principale, eseguendo milioni di aggiornamenti al secondo e provocando un consumo di memoria fino a 18 GB, con conseguente crash o blocco completo del sistema operativo. Il proof-of-concept di Pino mostra che browser come Chrome, Edge e Brave vanno in crash entro 15–60 secondi, causando perdita di dati non salvati e blocchi di sistema. Solo browser basati su altri motori — come Firefox (Gecko) e Safari (WebKit) — risultano immuni. Pino ha comunicato la vulnerabilità al team Chromium il 28 agosto 2025, ma non avendo ricevuto risposte tempestive, ha pubblicato pubblicamente il PoC per sensibilizzare gli utenti e stimolare una reazione più rapida. Al momento, Google e altri vendor stanno analizzando il problema, mentre Brave ha confermato di attendere la patch upstream ufficiale.
Implicazioni per la sicurezza globale
Questi due episodi evidenziano come l’interdipendenza tra progetti open-source amplifichi il rischio sistemico. WordPress e Chromium, rispettivamente leader nel web publishing e nel browsing, rappresentano punti critici dell’infrastruttura digitale mondiale. Nel caso del plugin WordPress, la mancanza di controlli input ha permesso un exploit banale ma devastante. Nel caso di Chromium, una semplice funzione di aggiornamento del titolo di pagina è bastata a creare un vettore DoS globale.
Entrambe le vulnerabilità non implicano furto di dati diretti, ma causano interruzioni operative e downtime significativi per siti web e utenti aziendali.
La comunità di sicurezza open-source ha reagito rapidamente:
- Wordfence ha distribuito una patch e aggiornato il database di minacce;
- Google ha avviato una revisione del codice Blink;
- i ricercatori raccomandano ai vendor di implementare rate limiting e sandbox isolate per i processi browser;
- gli amministratori WordPress sono invitati a usare plugin verificati e aggiornamenti automatici.
Questi incidenti, avvenuti quasi in parallelo, sottolineano la necessità di un approccio proattivo alla cybersecurity basato su aggiornamenti frequenti, monitoraggio continuo e divulgazione responsabile.
