Vulnerabilità del Plugin TablePress di WordPress: Colpite oltre 700.000 Siti

## Vulnerabilità del Plugin TablePress per WordPress: Colpisce Oltre 700.000 Siti ### Introduzione Una vulnerabilità nel plugin TablePress di WordPress ha reso possibile l’iniezione di script dannosi su più di 700.000 siti web. Questa falla di sicurezza consente agli aggressori di eseguire codici malevoli quando un visitatore accede a una pagina compromessa. Le versioni interessate […]

admin admin
Aug 30, 2025 - 19:30
0 42

## Vulnerabilità del Plugin TablePress per WordPress: Colpisce Oltre 700.000 Siti

### Introduzione

Una vulnerabilità nel plugin TablePress di WordPress ha reso possibile l’iniezione di script dannosi su più di 700.000 siti web. Questa falla di sicurezza consente agli aggressori di eseguire codici malevoli quando un visitatore accede a una pagina compromessa. Le versioni interessate vanno fino alla 3.2 inclusa.

### TablePress: Cos’è?

Il plugin TablePress è ampiamente utilizzato da chi gestisce siti WordPress, permettendo la creazione e la gestione di tabelle con funzionalità interattive come ordinamento, paginazione e ricerca. La popolarità del plugin lo rende un obiettivo attraente per i cybercriminali.

### Causa della Vulnerabilità

La vulnerabilità è causata dalla mancanza di sanitizzazione degli input e di escaping dell’output, in particolare nel modo in cui il plugin gestisce il parametro `shortcode_debug`. Questi passaggi di sicurezza basilari sono fondamentali per proteggere i siti da input dannosi e da output non sicuri.

> **Advisory di Wordfence:**
> “Il plugin TablePress per WordPress è vulnerabile a Cross-Site Scripting (XSS) memorizzato tramite il parametro ‘shortcode_debug’ in tutte le versioni fino alla 3.2, a causa di insufficiente sanitizzazione degli input e escaping dell’output.”

### Sanitizzazione degli Input

La sanitizzazione degli input filtra ciò che gli utenti digitano nei moduli. Questo processo è essenziale per bloccare input pericolosi, come script malevoli. Nel caso di TablePress, questa protezione non è stata applicata correttamente.

### Escaping dell’Output

L’escaping dell’output funziona in direzione opposta: blocca ciò che viene visualizzato sul sito web. Senza questo controllo, il sito potrebbe pubblicare caratteri che i browser interpretano come codice, esponendo ulteriormente gli utenti a rischi.

La mancanza di entrambe le protezioni ha permesso a un utente con accesso di livello Contributor o superiore di caricare uno script che viene memorizzato e eseguito ogni volta che la pagina viene visitata. Sebbene questa necessità di autorizzazione mitighi i rischi, non elimina la vulnerabilità.

### Raccomandazioni

È fondamentale che gli utenti del plugin aggiornino immediatamente alla versione 3.2.1 o superiore per proteggere i loro siti da potenziali attacchi.

### Conclusione

La vulnerabilità di TablePress sottolinea l’importanza di mantenere i plugins e le piattaforme aggiornate, evitando esposizioni non necessarie a rischi informatici. La sicurezza web è una priorità, e ogni passo verso la protezione è cruciale.

*Immagine di copertura: Shutterstock/Nithid*