Una falla di sicurezza di rilievo è emersa nel plugin WordPress “Ultimate Member”, presente in oltre 200.000 installazioni attive. Classificata con il codice CVE-2024-1071 e un punteggio CVSS di 9.8, questa vulnerabilità espone i siti a potenziali attacchi di iniezione SQL attraverso il parametro “sorting”. Questo difetto consente a malintenzionati non autenticati di inserire query SQL aggiuntive all’interno di quelle esistenti, rischiando l’esfiltrazione di dati sensibili dal database.
L’incidenza della vulnerabilità è limitata agli utenti che hanno attivato l’opzione “Enable custom table for usermeta” nelle impostazioni del plugin. La segnalazione responsabile di questa criticità è stata effettuata il 30 gennaio 2024 e, in risposta, i creatori del plugin hanno implementato una correzione con il rilascio della versione 2.8.3 il 19 febbraio.
Come superare il problema?
Si invita con urgenza gli utilizzatori del plugin ad aggiornare alla versione più recente di Ultimate Member per prevenire rischi di sicurezza, specialmente considerando che Wordfence ha già intercettato un tentativo di sfruttamento di questa vulnerabilità nelle ultime 24 ore.
Questo avviso di sicurezza si inserisce in un contesto più ampio di minacce informatiche rivolte ai siti WordPress, che comprende anche campagne di attacco che sfruttano siti compromessi per veicolare drainer di criptovalute o indirizzare i visitatori verso siti phishing legati al Web3.
Cos’è Ultimate Member?
Ultimate Member è un plugin per WordPress che semplifica la procedura di iscrizione degli utenti e la gestione dei profili sul tuo sito web. Questo plugin consente di aggiungere profili utente esteticamente gradevoli e funzionali, rendendo più agevole per gli utenti registrarsi e diventare membri del sito. Grazie alla sua versatilità e alle sue numerose funzionalità, Ultimate Member è uno strumento molto apprezzato per la creazione di comunità online e siti con aree riservate agli utenti registrati.