WordPress, lassurdo caso del plugin che mette a rischio fino a 50.000 siti
È stata individuata una grave falla di sicurezza nel plugin ACF Extended per WordPress. Trattasi di un’estensione per sviluppatori e site builder avanzati, che soffrirebbe appunto di un bug classificato come critico, il quale potrebbe consentire a malintenzionati non autenticati di ottenere privilegi amministrativi completi su migliaia di siti web.
Per darvi una dimensione della diffusione del plugin, ACF Extended è attualmente attivo su circa 100.000 installazioni WordPress. La falla è identificata come CVE-2025-14533 ed interessa tutte le versioni fino alla 0.9.2.1: a quanto pare, sfrutta in modo improprio l’azione di modulo “Insert User / Update User”, utilizzata per creare o aggiornare utenti dal frontend.
LA FALLA
Alla base del problema c’è una mancata applicazione delle restrizioni sui ruoli utente durante la creazione o eventuale modifica degli account. In soldoni, anche se nelle impostazioni del modulo sono configurate limitazioni precise, un hacker può comunque assegnare arbitrariamente un ruolo, incluso appunto quello di amministratore, semplicemente includendo un campo “ruolo” nel form. E questo tipo di escalation dei privilegi, facile immaginarlo, può portare ad una compromissione totale del sito.
CLICCA QUI PER CONTINUARE A LEGGERE
Qual è la tua reazione?
Mi piace
0
Antipatico
0
Lo amo
0
Comico
0
Furioso
0
Triste
0
Wow
0
