Una vulnerabilità critica ha interessato il popolare tema WordPress Service Finder, consentendo agli aggressori di accedere a qualsiasi account del sito web, inclusi quelli amministrativi, senza autorizzazione.

Il problema ha interessato il plugin integrato Service Finder Bookings, utilizzato per le prenotazioni e incluso nel tema. La vulnerabilità aggira il meccanismo di autenticazione, consentendo agli aggressori di assumere il controllo del sito web e abusarne delle funzionalità.

Alla vulnerabilità è stato assegnato l’identificatore CVE-2025-5947 e ha un punteggio CVSS critico di 9,8. Il bug è stato causato da un errore nella funzione service_finder_switch_back(), responsabile del passaggio da un account all’altro. Il plugin ha convalidato in modo errato il valore del cookie, consentendo a un aggressore di accedere come qualsiasi utente senza richiedere l’autenticazione. Ciò ha portato a un’escalation di privilegi, dall’accesso non autorizzato al controllo completo del sito web.

Secondo Envato Market, il tema Service Finder ha guadagnato popolarità, con oltre 6.100 clienti che lo utilizzano. Tutte le versioni fino alla 6.0 inclusa erano vulnerabili. Gli sviluppatori hanno risolto il problema il 17 luglio 2025 con l’aggiornamento 6.1, che ha rivisto le funzionalità e rafforzato il meccanismo di verifica.

Dall’inizio di agosto, sono stati registrati oltre 13.000 tentativi di sfruttare questa vulnerabilità. La percentuale esatta di attacchi riusciti non è ancora stata resa nota, ma è già noto che sono stati presi di mira siti web che utilizzavano il componente vulnerabile Service Finder Bookings. I ricercatori di Wordfence hanno identificato diversi indirizzi IP utilizzati per tentare di aggirare la protezione, tra cui 5.189.221[.]98, 185.109.21[.]157, 192.121.16[.]196, 194.68.32[.]71 e 178.125.204[.]198.

Le potenziali conseguenze per i siti web compromessi possono essere gravi. Gli aggressori possono iniettare script dannosi, reindirizzare i visitatori a pagine di phishing, utilizzare la piattaforma per distribuire malware o creare servizi falsi.

Poiché gli attacchi sono possibili anche senza alcuna registrazione preventiva, i siti restano vulnerabili finché gli amministratori non installano l’ultima versione del tema e non verificano eventuali modifiche sospette nella configurazione e nel contenuto.

Gli esperti di sicurezza raccomandano vivamente ai proprietari di siti web che utilizzano il tema Service Finder di aggiornare il prima possibile alla versione 6.1 e di analizzare i registri delle attività per identificare potenziali tentativi di accesso non autorizzati. In caso di sfruttamento attivo della vulnerabilità, eventuali ritardi potrebbero avere gravi conseguenze per l’infrastruttura e la reputazione delle risorse.

L'articolo Vulnerabilità critica nel tema WordPress Service Finder: aggiornare subito alla versione 6.1 proviene da il blog della sicurezza informatica.

Mi ha fatto anche molto piacere conoscere di persona il procuratore Gratteri, persona dai modi squisiti. E poi l’intervento di Bruno Frattasi, il direttore generale di Agenzia per la Cybersicurezza Nazionale, senza rete, è stato spettacolare, spaziando dal ransomware all’hashtag#IA, dalle regole europee ai temi più decisamente industriali e alla sovranità tecnologica.

Luna gli ha anche fatto una domanda non semplice sul rapporto tra Italia e Israele e Frattasi ha potuto confermare che non è assolutamente vero che qualcuno abbia consegnato a Israele le chiavi delle nostra cybersecurity (e come potrebbe, visto che è un ecosistema?) mentre è ovvio che l’Italia ha sempre avuto rapporti politici e industriali col paese mediorientale.

Una cosa non mi ha convinto molto, nelle parole di qualche panelist, e cioè questa idea che l’Italia è arretrata e deve “comprare innovazione” e “computer moderni” per garantirsi la sovranità digitale. Intanto l’innovazione, secondo me, non si compra ma si fa, e noi, Italia, pur con difficoltà, la facciamo; secondo, non è la dotazione dell’impiegato che fa la differenza in termini di protezione cibernetica, se non come uno dei tanti fattori coinvolti. Sono più importanti i servizi e la loro corretta configurazione, qualità e performance che la fanno. E poi la sicurezza è un concetto multifattoriale, dove comunque il fattore umano – awareness, formazione e cultura – è quello che fa la differenza, infatti “i dilettanti hackerano i computer, i professionisti hackerano le persone”, dice Schneier.

Quindi sicuramente possiamo aumentare gli investimenti in tecnologia, e creare una forza lavoro sufficiente e qualificata, ma dobbiamo investire molto in upskilling e reskilling nel mondo cyber.

E poi ci sono le regole: sono quelle italiane ed europee che ci hanno consentito di fare politiche di sicurezza anche senza avere dei campioni tecnologici nazionali nel campo del software e dell’hardaware, del cloud e dell’Intelligenza Artificale. La sovranità digitale ormai non può che essere Europea.

Vabbè il discorso è lungo, lo continueremo nei prossimi giorni.
Intanto complimenti a Luna, Frattasi e Gratteri, ma anche a Giorgio Ventre a Vito Di Marco, e a tutti i relatori presenti. é stata una bella occasione

dicorinto.it/formazione/acn-e-…

There’s a joke that does the rounds, about a teenager being given a dial phone and being unable to make head nor tail of it. Whether or not it’s true, we’re guessing that the same teen might be just a stumped by this year’s keyboard oddity from Google Japan. It replaces keys with a series of dials that work in the same way as the telephone dial of old. Could you dial your way through typing?

All the files to make the board, as well as a build guide, are in the GitHub repository linked above, but they’ve also released a promotional video that we’ve put below the break. The dials use 3D printed parts, and a rotary encoder to detect the key in question. We remember from back in the day how there were speed dialing techniques with dial phones, something we’ve probably by now lost the muscle memory for.

We like this board for its quirkiness, and while it might become a little tedious to type a Hackaday piece on it, there might be some entertainment for old-timers in watching the youngsters figuring it out. If you’re hungry for more, we’ve covered them before.

youtube.com/embed/BgdWyD0cBx4?…

Thanks [ikeji] for the tip.

hackaday.com/2025/10/09/google…