200.000 siti WordPress avvisati della vulnerabilità dei plugin attaccati attivamente

Gli amministratori di oltre duecentomila siti WordPress sono stati avvisati di una vulnerabilità critica in un plugin del loro sito web che gli aggressori stanno sfruttando attivamente. Da 6 ottobre È disponibile un aggiornamento di sicurezza per la vulnerabilità nei componenti aggiuntivi e nei modelli Royal Elementor, ma gli attacchi hanno avuto luogo da agosto, secondo la società di sicurezza Wordfence.

Elementor è un cosiddetto plugin “page builder” che sostituisce l’editor standard di WordPress. Offre agli utenti più libertà e opzioni per progettare il proprio sito WordPress e introduce tutti i tipi di funzionalità aggiuntive. Sono inoltre disponibili tutti i tipi di plug-in per Elementor, incluso Royal Elementor. Questo plugin è installato su più di duecentomila siti WordPress.

Una vulnerabilità critica nel caricamento di file nel plug-in, identificata come CVE-2023-5360, consente a un utente malintenzionato non autenticato di caricare file PHP dannosi, come una backdoor, sul sito Web. L’impatto della vulnerabilità è stato valutato 9,8 su una scala da 1 a 10.

Secondo Wordfence ci sono prove che l’exploit per la vulnerabilità fosse già in fase di sviluppo alla fine di luglio, mentre i primi attacchi si sono verificati alla fine di agosto. Il 3 ottobre si è verificato un picco di attacchi. Tre giorni dopo, lo sviluppatore del plugin ha rilasciato un aggiornamento (1.3.79) per risolvere il problema. Tuttavia, secondo i dati di WordPress, meno della metà dei siti vulnerabili ha installato la patch. Gli amministratori che non l’hanno ancora fatto sono invitati a installare l’aggiornamento.