Il plugin Forminator, utilizzato in oltre 500.000 siti WordPress è stato recentemente al centro dell’attenzione a causa di una vulnerabilità critica che ha messo a rischio la sicurezza di più di 300.000 siti.
La falla
Questa falla permetteva agli attori malevoli di eseguire caricamenti di file senza restrizioni sul server, esponendo i siti a potenziali malware. La vulnerabilità, identificata come CVE-2024-28890 con un punteggio CVSS v3 di 9.8, consentiva a un attaccante remoto di caricare e eseguire file dannosi sul server del sito. In aggiunta, sono state scoperte altre due vulnerabilità: una di iniezione SQL (CVE-2024-31077) e una di cross-site scripting XSS (CVE-2024-31857). Al riguardo il Cert giapponese ha pubblicato un bollettino di sicurezza sul suo portale delle vulnerabilità note (JVN).
L’aggiornamento
Gli amministratori dei siti che utilizzano Forminator sono stati esortati ad aggiornare il plugin alla versione 1.29.3, che risolve tutte e tre le vulnerabilità. Nonostante l’aggiornamento sia stato rilasciato l’8 aprile 2024, si stima che ci siano ancora migliaia di siti che non hanno effettuato l’aggiornamento rimanendo vulnerabili.
Nessun sfruttamento attivo per il momento
Al momento della scrittura, non ci sono stati rapporti pubblici di sfruttamento attivo della vulnerabilità CVE-2024-28890. Tuttavia, data la gravità della falla e la facilità con cui può essere sfruttata, il rischio delle conseguenze è alto. Questo difetto critico sottolinea l’importanza della vigilanza e della manutenzione costante nella gestione di un sito web, specialmente quando si tratta di sicurezza. Gli amministratori di siti web devono rimanere informati sulle ultime vulnerabilità e assicurarsi di applicare tempestivamente gli aggiornamenti di sicurezza per proteggere i loro siti e i dati degli utenti.