Le nuove vulnerabilità in 7-Zip, WhatsApp e nel plugin W3 Total Cache per WordPress espongono una superficie di attacco estremamente ampia, coinvolgendo milioni di utenti. Nel primo periodo emergono tre falle distinte: CVE-2025-11001 in 7-Zip, che abilita esecuzione di codice remoto tramite link simbolici in archivi Zip; una flaw in WhatsApp che consente enumerazione massiva di 3,5 miliardi di account, ben oltre i numeri dichiarati da Meta; e CVE-2025-9501 in W3 Total Cache, che permette command injection non autenticata su oltre un milione di siti WordPress. Le patch sono già disponibili, ma la portata delle esposizioni richiede interventi immediati. L’insieme di queste minacce mostra la fragilità di software molto diffusi, spesso considerati strumenti di uso quotidiano, e impone alle organizzazioni un rafforzamento delle difese per mitigare rischi di compromissione, furto dati e movimento laterale nelle reti.
Cosa leggere
Vulnerabilità remota in 7-Zip
La vulnerabilità CVE-2025-11001, con punteggio CVSS 7,0, colpisce 7-Zip nelle versioni dalla 21.02 fino alla patch 25.00 rilasciata nel luglio 2025. Il difetto deriva dalla gestione impropria di link simbolici all’interno di file Zip craftati, che permette un directory traversal non previsto e, in condizioni specifiche, l’esecuzione di codice remoto nel contesto dell’account di servizio. L’exploit richiede sistemi Windows con privilegi elevati o modalità sviluppatore attiva, fattori che amplificano i rischi in ambienti enterprise. Il ricercatore Ryota Shiga, utilizzando il tool AI Takumi, segnala la debolezza al team di sviluppo, mentre un proof-of-concept pubblicato su GitHub conferma la praticabilità dell’attacco. La vulnerabilità gemella CVE-2025-11002, anch’essa introdotta nella versione 21.02, riguarda condizioni simili di traversal e viene risolta nella release 25.00. Organizzazioni come Nhs England Digital segnalano exploit attivi in circolazione, senza divulgare dettagli sulla weaponization, spingendo utenti e aziende ad aggiornare immediatamente. Milioni di installazioni obsolete restano esposte, rendendo urgente il patching e il controllo dei file compressi ricevuti da fonti non fidate.
Impatto dell’exploitation su sistemi Windows
L’exploitation di CVE-2025-11001 avviene tramite archivi Zip manipolati che, se aperti con versione vulnerable di 7-Zip, consentono agli attaccanti di eseguire codice arbitrario in ambienti privilegiati. Il processo di estrazione attraversa directory non previste, compromettendo file sensibili, abilitando escalation di privilegi e facilitando movimento laterale nelle reti. La presenza di developer mode aumenta significativamente l’area di rischio. L’esistenza di un PoC pubblico semplifica test e possibili abusi. Organizzazioni implementano soluzioni di endpoint protection, monitorano indicatori di compromissione e educano gli utenti sulla pericolosità di archivi sospetti. La necessità di audit regolari sugli strumenti open-source emerge come elemento centrale, soprattutto per utility largamente utilizzate in flussi di lavoro aziendali.
Flaw di enumerazione su WhatsApp
I ricercatori austriaci scoprono una vulnerabilità nel sistema di lookup di WhatsApp che consente l’enumerazione di 3,5 miliardi di account, superando nettamente la cifra ufficiale degli utenti attivi. La debolezza riguarda l’assenza di rate limiting nella funzione di ricerca numeri: utilizzando libphonenumber di Google, il team genera 63 miliardi di numeri e li sottopone a una velocità di 7000 query al secondo per due giorni consecutivi. Il risultato è un reverse phonebook planetario, con informazioni su numeri, immagini profilo, nomi e testi associati.
I dati ottenuti mostrano dettagli sensibili: oltre il 57% delle immagini profilo contiene volti umani, il 29% dei testi rivela orientamenti sessuali, opinioni politiche e altre informazioni personali. La falla espone anche utenti in Paesi con ban come Cina e Myanmar, dove risultano attivi rispettivamente 2,3 milioni e 1,6 milioni di account, alimentando scenari di rischio per dissidenti e minoranze. Parte dei numeri è legata al grande scrape di Facebook del 2021, dimostrando che molti di essi sono ancora attivi. Meta introduce misure anti-scraping dopo quasi un anno dalla segnalazione iniziale e blocca le query nei test successivi.
Rischi per privacy e sicurezza da enumerazione massiva
L’enumerazione su scala globale comporta rischi notevoli: gli attaccanti possono utilizzare i numeri per campagne di spam, phishing e frodi. Profili con informazioni sensibili esposti in contesti repressivi amplificano rischi di persecuzione. Alcuni numeri appartengono a militari, funzionari pubblici e professionisti, creando potenziali vettori di intelligence. Il caso solleva interrogativi sull’efficacia delle protezioni di WhatsApp e sulla mancanza di audit preventivi. Pur mantenendo la cifratura end-to-end dei messaggi, l’app mostra fragilità nella protezione dei metadati, evidenziando la necessità di miglioramenti strutturali.
Command injection in W3 Total Cache
Il plugin W3 Total Cache, installato su oltre un milione di siti WordPress, è colpito da CVE-2025-9501, una vulnerabilità che permette command injection Php senza autenticazione. La falla riguarda la funzione _parse_dynamic_mfunc, incaricata della gestione dinamica delle chiamate in cache: un attaccante può inserire payload maligni nei commenti dei post e ottenere esecuzione di codice sul server. Il PoC, sarà pubblicato il 24 novembre 2025, aumenta la probabilità di sfruttamento immediato. La versione vulnerabile è ogni release precedente alla 2.8.13, che risolve il difetto. L’exploitation consente il takeover completo dei siti, soprattutto quelli con commenti abilitati, con rischi evidenti per e-commerce e portali ad alto traffico. La comunità WordPress consiglia aggiornamenti urgenti o la disattivazione temporanea del plugin, oltre al blocco dei commenti e all’uso di firewall applicativi per mitigare i vettori di attacco.
Mitigazioni e impatti per siti WordPress
Dopo l’aggiornamento, gli amministratori verificano la configurazione della cache e disabilitano funzioni dinamiche non necessarie. L’analisi dei log consente di individuare tentativi di exploit, mentre backup regolari facilitano il ripristino. La vulnerabilità evidenzia la criticità degli audit sugli add-on dei CMS: i plugin ad alta diffusione rappresentano una superficie di attacco privilegiata, rendendo fondamentale l’adozione di controlli rigorosi e aggiornamenti tempestivi.
Raccomandazioni generali per mitigare i rischi cyber
Le tre vulnerabilità mostrano come gli attaccanti sfruttino strumenti quotidiani per ottenere accesso a sistemi, server e informazioni personali. Le organizzazioni devono prioritizzare patching rapido, monitoraggio continuo e formazione degli utenti. L’adozione di approcci proattivi, integrati con strumenti di rilevamento avanzati, riduce i rischi di compromissione. Le patch sono disponibili: 7-Zip aggiorna a 25.00, WhatsApp implementa misure anti-scraping e W3 Total Cache rilascia la 2.8.13.
