Una falla di sicurezza di notevole gravità è stata rilevata all’interno del noto plugin WordPress chiamato Ultimate Member. Questo plugin, estremamente diffuso e impiegato su una vasta gamma di siti web, ha evidenziato una vulnerabilità critica, identificata con il codice CVE-2024-1071.
La valutazione della sua pericolosità, secondo il sistema di punteggio CVSS, ha raggiunto un impressionante 9,8 su 10, mettendo in luce la sua serietà e il possibile impatto negativo che potrebbe derivarne. La scoperta di tale vulnerabilità richiama l’attenzione sulla necessità di adottare misure di sicurezza aggiuntive per proteggere i siti web che fanno uso di questo plugin.
Vulnerabilità critica scoperta in Ultimate Member
Secondo quanto riportato da The Hacker New, è emerso un problema di sicurezza che riguarda un tipo di attacco informatico noto come iniezione SQL, il quale sfrutta una falla nel parametro ‘sort’ presente nelle versioni del plugin comprese tra la 2.1.3 e la 2.8.2. Questa falla di sicurezza apre la possibilità agli aggressori, anche se non autenticati, di manipolare le query SQL, consentendo loro di estrarre informazioni sensibili direttamente dal database di un sito Web.
Per essere più precisi, i siti Web che hanno attivato l’opzione “Abilita tabella personalizzata per usermeta” nelle impostazioni di Ultimate Member sono quelli che risultano essere interessati da questa vulnerabilità.
Misure di prevenzione e soluzione
La divulgazione di questa imperfezione è stata effettuata il trentesimo giorno del mese di gennaio nell’anno duemilaventiquattro. I creativi di Ultimate Member hanno prontamente risposto a questa situazione, mettendo in circolazione la versione 2.8.3 il diciannovesimo giorno del mese di febbraio dello stesso anno, al fine di porre rimedio a tale vulnerabilità.
Si invita calorosamente tutti gli utilizzatori del suddetto plugin a procedere senza indugio all’aggiornamento alla versione più recente disponibile, onde preservare l’integrità e la sicurezza dei propri siti web da eventuali minacce o attacchi malevoli.
Attacchi recenti e tendenze preoccupanti
Questo incidente non rappresenta la prima volta in cui Ultimate Member è coinvolto in questioni di sicurezza; precedentemente, nel mese di luglio del 2023, si è verificata una situazione simile in cui una falla analoga è stata abusata attivamente per compromettere diversi siti web.
È rilevante notare che tale comunicato viene diffuso in un contesto in cui i siti WordPress compromessi sono utilizzati sempre più spesso in varie campagne illecite, che vanno dall’iniezione di script per il mining di criptovalute fino al reindirizzamento dei visitatori verso siti di phishing all’interno dell’ecosistema Web3.
L’emergente vulnerabilità riscontrata in Ultimate Member sottolinea l’indiscussa importanza di mantenere costantemente aggiornati sia i plugin che le piattaforme di WordPress per garantire un livello adeguato di sicurezza.
Questa situazione evidenzia, altresì, l’urgente necessità di adottare pratiche di sicurezza robuste al fine di tutelare non solo i gestori dei siti web, ma anche gli utenti finali, di fronte alle crescenti minacce che caratterizzano l’attuale panorama digitale. Ti sei recentemente dedicato alla revisione e all’aggiornamento dei plugin utilizzati all’interno del tuo sito WordPress? Condividere le tue esperienze e le misure di sicurezza adottate potrebbe rivelarsi estremamente utile per la comunità, consentendo a tutti di proteggersi in modo più efficace da eventuali minacce simili.
