Più di 50.000 siti WordPress a rischio: scoperta grave vulnerabilità nel plugin Uncanny Automator
Redazione 
Un’importante falla di sicurezza è stata individuata in Uncanny Automator, uno dei plugin di automazione più popolari per WordPress, mettendo oltre 50.000 siti web a rischio di escalation dei privilegi. La vulnerabilità consente agli utenti autenticati, anche con permessi minimi come abbonati, di ottenere accesso amministrativo completo.
Una falla critica: cosa è successo
La vulnerabilità è stata scoperta il 5 marzo 2025 dal ricercatore di sicurezza mikemyers, e riguarda un difetto nei controlli di autorizzazione all’interno di alcune API REST del plugin. Il problema consente l’uso improprio delle funzioni add_role() e user_role() da parte di utenti con privilegi limitati.
In assenza di una convalida adeguata, un attaccante può sfruttare queste funzioni per modificare il proprio ruolo e ottenere privilegi amministrativi, aprendo la porta a una lunga serie di rischi:
- Installazione di plugin dannosi
- Reindirizzamenti verso siti fraudolenti
- Accesso completo e non autorizzato ai dati del sito
La vulnerabilità è stata catalogata come CVE-2025-2075 con un punteggio CVSS di 8.8/10, indicandone la gravità critica.
Le patch rilasciate e le date da ricordare
Dopo la segnalazione, il team di sviluppo di Uncanny Owl ha agito rapidamente rilasciando due aggiornamenti:
- Versione 6.3.0.2 (rilasciata il 17 marzo 2025) – Patch parziale
- Versione 6.4.0 (rilasciata il 1° aprile 2025) – Patch completa
Wordfence, leader nella sicurezza WordPress, ha distribuito regole firewall protettive già il 7 marzo 2025 per gli utenti premium. Gli utenti della versione gratuita riceveranno la stessa protezione dal 6 aprile 2025.
L’importanza dell’aggiornamento e della prevenzione
Chi utilizza Uncanny Automator deve aggiornare immediatamente alla versione 6.4.0 per eliminare qualsiasi rischio. Mantenere i plugin aggiornati è una pratica essenziale per evitare vulnerabilità critiche che possono compromettere l’intero sito web.
Inoltre, l’uso di strumenti di sicurezza avanzati come Wordfence è fortemente consigliato per garantire una protezione a più livelli.
Come ha dichiarato Wordfence:
“Niente dimostra l’importanza della difesa proattiva come il continuo emergere di plugin obsoleti o vulnerabili.”
Collaborazione e bug bounty: la sicurezza si costruisce insieme
Il ricercatore mikemyers ha ricevuto un compenso di 1.065 dollari attraverso il Wordfence Bug Bounty Program, a testimonianza dell’impegno dell’intera comunità nella ricerca e segnalazione responsabile delle vulnerabilità.
Wordfence ha ribadito la sua missione di investire nella sicurezza dell’ecosistema WordPress, collaborando attivamente con esperti del settore per prevenire minacce prima che si trasformino in attacchi reali.
Consigli rapidi per chi usa WordPress:
- Aggiorna subito Uncanny Automator alla versione 6.4.0
- Abilita firewall e strumenti di monitoraggio attivi
- Segui le notifiche di sicurezza dei plugin installati
- Affidati a soluzioni come Wordfence Premium o Care
