È stata scovata una nuova vulnerabilità in rete. Quest’ultima riguarda il plugin Hunk Companion. Noto strumento per WordPress che permette di creare siti web. La falla è stata scovata dai ricercatori di WP ed ha ricevuto una valutazione di gravità pari a 9,8 su 10. Dettaglio che sottolinea l’elevato rischio per la sicurezza dei siti interessati. Con oltre 10.000 installazioni attive, il problema è particolarmente preoccupante. Ciò soprattutto perché meno del 12% degli utenti ha installato la patch correttiva, lasciando più di 8.000 siti esposti ad attacchi.
WordPress: scovata una nuova falla
La vulnerabilità consente ai criminali informatici di installare e attivare plugin dannosi. Come WP Query Console, senza la necessità di autenticazione. Quest’ultimo permette l’esecuzione di codice arbitrario, offrendo agli attaccanti il pieno controllo del sito. Ciò può tradursi in furti di dati sensibili, alterazioni dei contenuti o utilizzo del sito per ulteriori attività malevole. La minaccia colpisce in modo trasversale non solo i siti che utilizzano il plugin Hunk Companion. Sono in pericolo anche quelli costruiti con i temi ThemeHunk.
Daniel Rodriguez, esperto di sicurezza di WP Scan, ha spiegato che la situazione è resa ancor più critica dal fatto che WP Query Console, non più aggiornato da anni, è stato rimosso dalla directory ufficiale di WordPress solo dopo che gli attaccanti avevano già trovato metodi alternativi per distribuirlo. Grazie a indirizzi non ufficiali, i malintenzionati hanno continuato a sfruttare la vulnerabilità, mettendo in difficoltà i proprietari dei siti colpiti.
Fortunatamente, la versione aggiornata di Hunk Companion risolve il problema. La lentezza con cui gli utenti adottano gli aggiornamenti però rappresenta una grave lacuna nel panorama della sicurezza informatica. Le vulnerabilità nei plugin continuano a rappresentare un grande rischio. Investire in una gestione proattiva degli aggiornamenti e in misure di protezione avanzate non è più una scelta. Rappresenta ormai una necessità per prevenire attacchi e salvaguardare l’integrità dei siti web.
