Un report di Wordfence ha evidenziato una vulnerabilità critica che ha messo a rischio quasi un milione di siti web WordPress, consentendo agli hacker di modificare i contenuti delle pagine. La falla riguardava un plugin WordPress chiamato Website Builder, sviluppato da SeedProd, che vantava oltre 900.000 installazioni attive. La vulnerabilità era dovuta all’assenza di un controllo di capacità in una delle funzioni del plugin, permettendo così agli aggressori di modificare il contenuto di siti che utilizzano il plugin per pagine “in costruzione”, di manutenzione o pagine 404.
La versione del plugin interessata dalla vulnerabilità era la 6.15.21. SeedProd ha prontamente risposto rilasciando una patch che aggiorna il plugin alla versione 6.15.22. Si consiglia vivamente a tutti i proprietari di siti web WordPress che utilizzano questo plugin di applicare immediatamente la patch.
La vulnerabilità è stata tracciata come CVE-2024-1072 e ha ricevuto un punteggio di gravità di 8.2/10 secondo il Common Vulnerability Scoring System (CVSS), classificandola come una falla di “alto rischio”.
WordPress è il costruttore di siti web più popolare al mondo, alimentando quasi la metà (43%) di tutti i siti web su Internet. Questo lo rende un obiettivo comune per gli hacker, che tendono a cercare vulnerabilità nei plugin e negli addon, spesso meno monitorati e aggiornati rispetto al nucleo di WordPress. Gli amministratori dei siti sono invitati a mantenere sempre aggiornati tutti i loro plugin per prevenire potenziali attacchi.
