Un’importante vulnerabilità scoperta nel plugin MasterStudy LMS Pro per WordPress ha messo a rischio oltre 15.000 siti attivi. Il problema, identificato come CVE-2025-4800, consente agli utenti autenticati con privilegi minimi (come i semplici sottoscrittori) di caricare file arbitrari sul server, aprendo la strada all’esecuzione remota di codice (RCE) e, in casi specifici, al completo controllo del sito.
Il contesto della scoperta
La vulnerabilità è stata segnalata il 15 maggio 2025 dal ricercatore Foxyyy, che ha ricevuto una ricompensa di 703 dollari tramite il Wordfence Bug Bounty Program. Wordfence ha immediatamente analizzato e confermato la falla, rilasciando una regola di firewall per proteggere gli utenti dei suoi servizi a pagamento (Premium, Care, Response) lo stesso giorno. Gli utenti della versione gratuita riceveranno la protezione il 14 giugno 2025.
Il plugin vulnerabile è incluso anche nel popolare tema MasterStudy Education di ThemeForest, con oltre 21.000 vendite.
La vulnerabilità: un file PHP camuffato da immagine
Il problema risiede nella funzione stm_lms_add_assignment_attachment() che, insieme alla stm_lms_upload_media_library_file(), consente agli utenti autenticati di caricare file senza adeguati controlli sui tipi di file e senza verifiche di sicurezza fondamentali come capability checks e nonce checks. In configurazioni particolari – ovvero quando sono attivi gli addon “Media File Manager” e “Assignments” (entrambi disabilitati di default) – un attaccante può caricare una semplice immagine .png, rinominarla in .php e quindi accedere al file attraverso la cartella upload di WordPress, di solito pubblicamente accessibile.
Esecuzione remota di codice e takeover
Questo tipo di attacco consente di eseguire comandi arbitrari sul server. La tecnica può essere sfruttata per installare webshells, aprire backdoor, compromettere account amministrativi o persino far parte di botnet. È quindi una minaccia concreta per l’integrità del sito, dei dati e degli utenti.
Tempistiche e risposta del team
Il team di StylemixThemes, sviluppatore del plugin, ha ricevuto la notifica il 15 maggio e ha rilasciato la patch risolutiva nella versione 4.7.1 il 22 maggio 2025. Una reazione rapida che ha permesso di mitigare i rischi in tempi brevi, sebbene sia fondamentale che tutti gli utenti aggiornino immediatamente alla versione corretta.
Raccomandazioni di sicurezza
Per chi utilizza MasterStudy LMS Pro:
- Aggiornare immediatamente alla versione 4.7.1
- Assicurarsi che gli addon “Media File Manager” e “Assignments” non siano attivati, se non strettamente necessari
- Abilitare l’opzione “Disable Code Execution for Uploads directory” nelle impostazioni globali di Wordfence per bloccare l’accesso ai file caricati
- Monitorare eventuali modifiche sospette nella directory
wp-content/uploads/
Considerazioni finali
Questa vulnerabilità mette in evidenza quanto sia cruciale adottare un approccio proattivo alla sicurezza su WordPress, specialmente quando si utilizzano plugin complessi come LMS (Learning Management System). Anche un semplice utente registrato, se malintenzionato, può sfruttare configurazioni errate o opzioni poco documentate per ottenere il controllo completo del sito.
Chi gestisce uno o più siti WordPress dovrebbe considerare l’utilizzo di un Web Application Firewall (WAF) come Wordfence, aggiornare regolarmente i plugin e verificare le impostazioni di sicurezza avanzate.
🔁 Condividi questo avviso con chi utilizza MasterStudy LMS Pro: la rapidità di aggiornamento è la prima barriera contro gli exploit.
