Due vulnerabilità gravi nel plugin WP User Frontend Pro per WordPress mettono a rischio la sicurezza di oltre 9.000 siti web. Si tratta di un arbitrary file upload e di un arbitrary file deletion, due falle che consentono a un utente autenticato, anche con permessi minimi da “subscriber”, di compromettere completamente un sito web.
Due vulnerabilità ad alto impatto
Le vulnerabilità sono state segnalate a Wordfence il 24 marzo 2025 dal ricercatore Foxyyy, che ha partecipato al Bug Bounty Program della società, ricevendo un compenso complessivo di 415 dollari. Dopo una verifica tecnica, Wordfence ha confermato la possibilità di eseguire codice remoto o eliminare file critici dal server tramite il plugin vulnerabile, versione 4.1.3 o precedenti. Il produttore, weDevs, ha rilasciato la patch correttiva il 3 giugno 2025, con la versione 4.1.4.
Vulnerabilità 1: Arbitrary File Upload (CVE-2025-3054)
Valutata 8.8 su 10 nel sistema CVSS, questa falla consente a un utente autenticato di caricare file arbitrari sul server, inclusi file .php, grazie all’assenza di controlli sul tipo di file nella funzione upload_files(). Se il modulo “Private Message” è attivato (è disabilitato per impostazione predefinita), un attaccante può allegare file in fase di invio messaggio e salvarli nella directory pubblica degli upload di WordPress. Una volta caricato, il file malevolo può essere eseguito da remoto per assumere il pieno controllo del sito.
Vulnerabilità 2: Arbitrary File Deletion (CVE-2025-3055)
Con un punteggio CVSS di 8.1, questa seconda vulnerabilità deriva da una scarsa validazione del percorso del file nella funzione delete_avatar_ajax(). In pratica, un utente con accesso minimo può manipolare il sistema di gestione avatar per indicare file arbitrari del server e successivamente cancellarli. Eliminando file cruciali come wp-config.php, il sito entra in modalità setup, consentendo a un attaccante di collegarlo a un nuovo database e completare la compromissione.
Protezioni Wordfence e raccomandazioni
Tutti gli utenti Wordfence — inclusi quelli con versione gratuita — sono già protetti da queste vulnerabilità grazie ai moduli di firewall per Malicious File Upload e Directory Traversal. Tuttavia, Wordfence sottolinea che la protezione contro l’esecuzione dei file caricati è attiva solo se l’opzione “Disable Code Execution for Uploads directory” è abilitata nelle impostazioni globali.
È fortemente consigliato aggiornare il plugin WP User Frontend Pro alla versione 4.1.4 immediatamente. Chiunque utilizzi una versione precedente rischia l’integrità del proprio sito e dei dati ospitati.
Un caso che mostra l’importanza della sicurezza “multi-layer”
L’incidente evidenzia ancora una volta quanto sia essenziale adottare un approccio multilivello alla sicurezza di WordPress: aggiornamenti tempestivi, validazione rigorosa del codice, firewall efficaci e programmi di bug bounty attivi sono strumenti fondamentali per mitigare i rischi. Wordfence conferma il proprio impegno nella collaborazione con ricercatori etici e nella protezione dell’intero ecosistema WordPress.
Se utilizzi WP User Frontend Pro o conosci qualcuno che lo fa, è il momento di verificare la versione installata e aggiornare al più presto. Il rischio di compromissione completa del sito non può essere sottovalutato.
