Grave Vulnerabilità WordPress
Home / Single Post
Grave Vulnerabilità WordPress
Una grave vulnerabilità, identificata come CVE-2025-7526, è stata scoperta nel plugin WP Travel Engine per WordPress, che potrebbe consentire a utenti autenticati con privilegi di sottoscrittore o superiori di eseguire cancellazioni arbitrarie di file attraverso una rinomina dei file. Questa falla di sicurezza rappresenta una minaccia critica per i siti che utilizzano questa estensione, mettendo a rischio l’integrità e la disponibilità dei dati.
La vulnerabilità identificata nel plugin WP Travel Engine, un popolare strumento per la gestione delle prenotazioni turistiche su WordPress, consente a utenti autenticati di livello Subscriber+ di rinominare e successivamente cancellare file arbitrari presenti sul server. Sfruttando una gestione inadeguata delle autorizzazioni nel codice PHP del plugin, gli aggressori possono manipolare i file critici del sistema. La vulnerabilità si presenta nella versione 6.6.7 e versioni precedenti del plugin. Gli aggressori potrebbero sfruttare questa falla inviando richieste HTTP opportunamente modificate, sfruttando l’endpoint vulnerabile che consente la rinomina dei file senza effettuare controlli sufficienti sui permessi o sulla validità del file stesso, portando alla possibilità di cancellazione di file essenziali per il funzionamento del sito.
- Aggiornare immediatamente WP Travel Engine alla versione più recente disponibile
- Monitorare i registri di accesso per rilevare eventuali attività sospette da parte di utenti autenticati
- Limitare i permessi degli utenti Subscriber per ridurre le superfici di attacco potenziali
- Implementare regole di firewall per bloccare richieste sospette relative all’endpoint vulnerabile
- Considerare l’attivazione di soluzioni di monitoraggio della sicurezza per rilevare e rispondere rapidamente a eventuali tentativi di sfruttamento della vulnerabilità.
Fonte: Latest Vulnerabilities