CVE-2025-2636: Inclusione locale di file non autenticata nel plugin InstaWP Connect (<= 0.1.0.85)

InstaWP Connect è un plugin WordPress ampiamente utilizzato progettato per semplificare i processi di staging e migrazione dei siti web. Con oltre 30.000 installazioni attive e una valutazione di 4,5 stelle nella Directory dei Plugin WordPress, serve una parte significativa della community di WordPress.

È stata identificata una vulnerabilità di sicurezza critica nelle versioni fino alla 0.1.0.85 inclusa di questo plugin. Questo difetto consente a utenti non autenticati — ovvero senza credenziali di accesso — di ottenere potenzialmente accesso non autorizzato a file sensibili del server. Tale accesso potrebbe portare al pieno controllo del sito compromesso, comportando gravi rischi per l’integrità del sito e i dati degli utenti.

Prodotto instawp-connect
Data 2025-04-29 14:11:28
Informazioni Trending, Fix Available

Riassunto tecnico

La vulnerabilità deriva da una validazione insufficiente dell’input nella gestione del parametro instawp-database-manager. In particolare, il plugin non esegue una corretta sanificazione dell’input fornito dall’utente, consentendo agli attaccanti di effettuare attacchi di Inclusione Locale di File (LFI). Sfruttando questa falla, un attaccante non autenticato può includere ed eseguire file PHP arbitrari presenti sul server.

Questo potrebbe essere particolarmente pericoloso se l’attaccante riesce a caricare file malevoli o a sfruttare file già esistenti per eseguire codice arbitrario, con conseguenti potenziali:

  • Esecuzione di codice da remoto (RCE): esecuzione di codice arbitrario sul server.
  • Aggiramento dei controlli di accesso: accesso non autorizzato ad aree riservate.
  • Esfiltrazione di dati: accesso a informazioni sensibili memorizzate sul server.

Raccomandazioni

  1. Aggiorna il plugin: Se stai utilizzando una versione di InstaWP Connect pari o inferiore alla 0.1.0.85, aggiorna immediatamente alla versione più recente. Assicurati che l’aggiornamento risolva questa specifica vulnerabilità.

  2. Disattiva o rimuovi il plugin: Se una versione aggiornata non è ancora disponibile o se non puoi aggiornare tempestivamente, valuta la possibilità di disattivare o rimuovere temporaneamente il plugin per mitigare il rischio.

  3. Verifica i file del server: Controlla il server per rilevare eventuali file non autorizzati o sospetti, in particolare nelle directory che consentono il caricamento di file.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In