Una pericolosa vulnerabilità di privilege escalation è stata scoperta nel popolare tema WordPress RealHomes, utilizzato da oltre 33.000 siti in tutto il mondo. Questo difetto permette a un utente autenticato, con privilegi di semplice abbonato o superiore, di elevare i propri permessi fino al livello di amministratore e di ottenere così il pieno controllo del sito. Il rischio riguarda in particolare chi ha attivato nelle impostazioni l’opzione “Mostra il ruolo utente nel profilo”, disattivata per impostazione predefinita.
La vulnerabilità: CVE-2025-4601
Secondo quanto pubblicato dal team di Wordfence, la vulnerabilità, identificata con CVE-2025-4601 e valutata con un punteggio CVSS di 8.8, impatta tutte le versioni del tema RealHomes fino alla 4.4.0. Il problema nasce dalla funzione inspyri_update_profile(), che non limita in modo adeguato i ruoli selezionabili dagli utenti. Se l’opzione incriminata viene abilitata, un utente autenticato può cambiare arbitrariamente il proprio ruolo, arrivando anche a nominarsi amministratore.
Questa escalation di privilegi consente a un eventuale attaccante di prendere il controllo totale del sito, installare plugin o temi malevoli, modificare contenuti o reindirizzare gli utenti verso pagine dannose.
Scoperta, divulgazione responsabile e patch
La vulnerabilità è stata individuata dal ricercatore Thái An, che l’ha segnalata tramite il programma Wordfence Bug Bounty, ottenendo una ricompensa di 585 dollari. Wordfence ha fornito una regola firewall dedicata agli utenti Premium, Care e Response il 12 maggio 2025, mentre gli utenti della versione gratuita riceveranno la protezione a partire dall’11 giugno 2025.
Il team di sviluppo InspiryThemes ha collaborato prontamente con Wordfence, rilasciando una prima correzione parziale nella versione 4.4.0 il 26 maggio, seguita da una patch definitiva nella versione 4.4.1 il 5 giugno 2025. L’intervento tempestivo degli sviluppatori ha limitato l’esposizione dei siti vulnerabili, ma resta essenziale aggiornare immediatamente il tema.
Analisi tecnica: perché il bug è critico
Nel dettaglio, la funzione interessata permette, quando l’opzione di modifica del ruolo è attiva, di modificare senza limiti il ruolo utente attraverso una semplice richiesta POST. La mancanza di restrizioni sui ruoli rende possibile a chiunque abbia accesso, anche minimo, di auto-attribuirsi privilegi amministrativi.
Un attacco di questo tipo può portare a una compromissione completa del sito: un amministratore malevolo può installare file dannosi, modificare la struttura del sito, sottrarre dati sensibili e compromettere la sicurezza di utenti e visitatori.
Cronologia della disclosure
- 10 maggio 2025: segnalazione ricevuta da Wordfence.
- 12 maggio 2025: verifica della vulnerabilità, comunicazione a InspiryThemes e distribuzione della regola firewall agli utenti premium.
- 15 maggio 2025: conferma del vendor e inizio della correzione.
- 26 maggio 2025: rilascio patch parziale (4.4.0).
- 5 giugno 2025: rilascio patch definitiva (4.4.1).
- 11 giugno 2025: protezione disponibile anche per gli utenti Wordfence Free.
Cosa devono fare gli utenti RealHomes
Tutti i siti che utilizzano RealHomes devono aggiornare immediatamente il tema almeno alla versione 4.4.1, che risolve integralmente la vulnerabilità. Si consiglia inoltre di verificare che l’opzione “Mostra il ruolo utente nel profilo” non sia attivata se non strettamente necessario.
Chi utilizza Wordfence Premium, Care o Response dispone già della protezione firewall; chi usa la versione gratuita riceverà la stessa protezione l’11 giugno. In ogni caso, l’aggiornamento del tema resta il metodo più efficace e definitivo per mettere in sicurezza il sito.
Conclusione
Il caso RealHomes dimostra quanto sia fondamentale mantenere aggiornati temi e plugin WordPress e adottare soluzioni di sicurezza multilivello. Una semplice opzione di configurazione può aprire la porta a minacce gravissime se gestita senza consapevolezza.
Aggiorna subito il tema RealHomes alla versione 4.4.1 e diffondi la notizia a chi utilizza questo tema. Una vulnerabilità di privilege escalation può mettere a rischio non solo il sito, ma anche i dati e la reputazione di chi lo gestisce.
