Wordpress, un milione di siti a rischio: aggiornare subito questo plug-in

"Essential Addons for Elementor", uno dei plug-in più popolari di Wordpress, ha mostrato una vulnerabilità di sorpasso di autorizzazioni che potrebbe consentire ad attaccanti remoti di guadagnare un accesso amministratore al sito web su cui è installato il plugin. Utilizzato su oltre un milione di siti web, Essential Addons for Elementor è una libreria di 90 estensioni per il generatore di pagine Elementor.

La vulnerabilità è stata individuata da PatchStack lo scorso 8 maggio ed è tracciata con la sigla CVE-2023-32243. Più nello specifico si tratta di una vulnerabilità di privilege escalation non autenticati sulla funzionalità di rempostazione della password dei plugin e interessa le versioni da 5.4.0 a 5.7.1.

La falla, quando sfruttata, può permettere di reimpostare la password di qualsiasi utente di cui si conosca il nome: questo può avvenire anche reimpostando la password di un account sviluppatore così da accedere al sito con i suoi permessi. "La vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave e invece modifica direttamente la password dell'utente indicato" scrive PatchStack.

E' immediatamente intuibile quali possano essere le conseguenze e la loro gravità: accesso non autorizzato ad informazioni private, defacing, compromissione o eliminazione di siti web, diffusione di malware e eventuali danni di immagine.

PatchStack ha pubblicato una serie di dettagli tecnici che spiegano in che modo sia possibile sfruttare la vulnerabilità, questo perché il plugin Essential Addons for Elementor è già stato aggiornato alla versione 5.7.2 che risolve il problema. Il consiglio, per tutti coloro i quali fanno uso di questo plugin, è quello di aggiornare immediatamente all'ultima versione per mettersi così al riparo da problemi e inconvenienti.