Pochi giorni fa è stata scoperta una grave vulnerabilità del plugin di WordPress Essential Addons for Elementor, che permette di compromettere con molta semplicità qualsiasi sito web su cui è installato.
Argomenti principali
È quindi necessario aggiornare al più presto il plugin all’ultima versione 5.7.2 prima che il sito venga attaccato e compromesso.
Vediamo insieme quanto è grave questa falla di sicurezza, quali versioni di Essential Addons for Elementor sono vulnerabili e cosa fare per proteggersi.
Essential Addons for Elementor: a cosa serve?
Essential Addons for Elementor è un plugin che aggiunge una libreria di più di 90 tra elementi, estensioni e widget per Elementor, uno dei più famosi e utilizzati builder di siti web in WordPress.
Essential Addons conta più di 1 milione di installazioni e più di 3000 recensioni nella directory dei plugin WordPress, con un voto medio di 4,9 su 5. Possiamo dire che è quindi uno dei più importanti plugin che ruotano intorno al mondo del famoso site builder Elementor.
Quanto è grave questo problema di sicurezza?
La falla di sicurezza di Maggio 2023 che affligge il plugin è davvero molto grave, tanto da essere classificata con un punteggio molto alto (9.8 su 10, cioè quasi il massimo) della scala del sistema mondiale utilizzato per il calcolo del punteggio delle vulnerabilità, il CVSS o Common Vulnerability Scoring System.
Si tratta infatti di una vulnerabilità classificata come “escalation di privilegi” ( in inglese Privilege Escalation), cioè permette ad un utente malintenzionato di ottenere privilegi amministrativi sul sito attaccato e di conseguenza prenderne il pieno controllo e poterlo sfruttare come vettore di attacco per campagne di spam, diffusione di virus o malware.
Non essendo inoltre necessaria alcun tipo di autenticazione sul sito attaccato per sfruttare questa falla di sicurezza, possiamo tranquillamente affermare che questa è una delle più gravi vulnerabilità legate al mondo WordPress+Elementor del 2023, almeno fino a questo momento.
Quali versioni del plugin sono vulnerabili?
Nel caso della vulnerabilità classificata come CVE-2023-32243, le versioni di Essential Addons for Elementor affette dal problema di sicurezza sono quelle che vanno dalla versione 5.4.0 fino alla 5.7.1 compresa.
Attenzione perché parliamo della versione gratuita del plugin, cioè quella identificata come vedete nell’immagine lato backend:
mentre come vedete la versione PRO riporta la dicitura .
Nella cartella dei plugin di WordPress, che potete visualizzare tramite qualsiasi file manager oppure via SFTP o shell, lo troverete con la dicitura “lite”, ecco un esempio:
Sintomi di un sito attaccato con questa vulnerabilità
Come possiamo accorgerci se un sito ha subito questo particolare attacco?
Questa vulnerabilità è abbastanza semplice da individuare perché permette di resettare la password di uno degli utenti WordPress già esistenti impostandone una nuova a proprio piacimento e, fortunatamente, WordPress prevede una notifica in caso di cambio password.
Ogni volta che una password di un utente di un sito WordPress viene modificata infatti, l’applicazione è configurata di default per inviare allo stesso utente un’ e-mail alla sua casella di posta, avvisandolo proprio dell’operazione di cambio password appena eseguita.
Se state utilizzando una di queste versioni (>= 5.4.0 and <= 5.7.1) allora significa che il vostro sito è vulnerabile, ma se non avete ricevuto un’email di cambio password, allora potete stare tranquilli. Nessuno ha ancora tentato di compromettere il vostro sito web, almeno per il momento!
Cosa fare per proteggersi?
Fortunatamente gli sviluppatori del plugin hanno risolto abbastanza in fretta questo problema di sicurezza, rilasciando una nuova versione del plugin in data 11/05/2023, la versione 5.7.2. Per proteggersi è quindi sufficiente aggiornare Essential Addons for Elementor alla versione 5.7.2.
Considerata la gravità della vulnerabilità e la relativa facilità con cui può essere sfruttata, come accaduto in passato abbiamo aggiornato tutte le versioni vulnerabili del plugin Essential Addons for Elementor presenti nei siti web ospitati sui nostri servizi di hosting entro 24 ore dalla pubblicazione della vulnerabilità.
Conclusioni e fonti
Ancora una volta gli sviluppatori hanno risolto in tempi abbastanza rapidi i problemi di sicurezza, ma il vero potere rimane sempre nelle mani dei veri e delle vere webmaster e dei professionisti che tengono sempre un occhio aperto 😉
Fonti: Wordfence, Patchstack, The Hacker News.
Trasmetto nel mondo online e offline i valori di Ergonet: la voce del servizio clienti, il codice degli sviluppatori e l’infrastruttura dei sistemisti. Lavoro nel settore hosting da più di 15 anni, amo internet e cerco di renderlo migliore ogni giorno che passa.
