Vulnerabilità critica in Element Kit per Elementor: 20.000 siti WordPress a rischio

Vulnerabilità critica in Element Kit per Elementor: 20.000 siti WordPress a rischio

Una minaccia concreta per migliaia di siti WordPress

Se gestisci un sito WordPress che utilizza il plugin LA-Studio Element Kit per Elementor, devi agire immediatamente. Una vulnerabilità critica catalogata come CVE-2026-0920 consente agli attaccanti di accedere completamente al tuo sito senza bisogno di password o autenticazione. La buona notizia è semplice: aggiorna il plugin alla versione 1.6.0 il prima possibile. Questo è l’unico modo per proteggere il tuo sito da un attacco che potrebbe portare al furto di dati, all’iniezione di malware o al reindirizzamento dei visitatori verso siti dannosi.

Cosa sta accadendo?

La vulnerabilità è stata scoperta nel parametro lakit_bkrole del plugin, che gestisce l’assegnazione dei ruoli utente durante la registrazione. Il problema risiede nella funzione ajax_register_handle della classe LA-Studio_Kit_Integration. Questa funzione non verifica adeguatamente i permessi quando un nuovo utente si registra, permettendo agli attaccanti di specificare direttamente il ruolo “administrator” nella loro richiesta.

In termini semplici: chiunque acceda al tuo sito, anche un visitatore completamente anonimo, potrebbe teoricamente creare un account con privilegi amministrativi completi. Una volta ottenuto l’accesso amministratore, l’attaccante può fare praticamente qualsiasi cosa: modificare il contenuto del sito, installare plugin dannosi, rubare i dati dei clienti, o trasformare il tuo sito in una piattaforma per phishing e malware.

Quali versioni sono colpite?

Tutte le versioni del plugin LA-Studio Element Kit fino alla versione 1.5.6.3 sono vulnerabili. Se hai una versione precedente a 1.6.0, il tuo sito è a rischio. La patch è stata rilasciata il 14 gennaio 2026, quindi non è ancora ampiamente distribuita tra tutti gli utenti.

Come è stata scoperta questa falla?

Quello che rende questa vulnerabilità particolarmente preoccupante è la sua origine: un ex dipendente di LA-Studio ha deliberatamente inserito il codice backdoor prima della fine del suo rapporto di lavoro a fine dicembre 2025. Questo non è un errore accidentale di programmazione, ma un sabotaggio intenzionale. Il codice è stato volutamente offuscato per nascondere l’attività malevola.

La scoperta è avvenuta attraverso il programma di bug bounty di Wordfence, quando i ricercatori di sicurezza Athiwat Tiprasaharn, Itthidej Aramsri e Waris Damkham hanno segnalato la vulnerabilità il 12 gennaio 2026. Wordfence ha validato l’exploit entro 24 ore e ha immediatamente notificato LA-Studio. La risposta è stata rapida: la versione corretta è stata rilasciata il 14 gennaio, appena un giorno dopo la notifica.

Protezione e strategie di patching

Wordfence ha implementato protezioni firewall per i suoi utenti Premium, Care e Response già il 13 gennaio 2026. Gli utenti della versione gratuita di Wordfence riceveranno la stessa protezione il 12 febbraio 2026, offrendo un vantaggio di 30 giorni ai clienti a pagamento.

Se utilizzi LA-Studio Element Kit per Elementor, devi aggiornare il plugin alla versione 1.6.0 senza indugi. Non è una raccomandazione facoltativa: è essenziale per la sicurezza del tuo sito. Il processo di aggiornamento è solitamente semplice: accedi al pannello amministrativo di WordPress, vai alla sezione Plugin, individua LA-Studio Element Kit e clicca su “Aggiorna ora”.

Lezioni per il futuro

Questa vulnerabilità evidenzia un problema più ampio nella sicurezza dello sviluppo software: la necessità di rigidi processi di revisione del codice, monitoraggio degli sviluppatori e procedure di offboarding dei dipendenti. Le organizzazioni che sviluppano plugin WordPress devono implementare controlli di accesso rigorosi, controllare il codice prima del rilascio e revocare immediatamente l’accesso ai repository quando un dipendente lascia l’azienda.

Per i proprietari di siti WordPress, questa situazione sottolinea l’importanza di mantenere i plugin aggiornati e di utilizzare servizi di sicurezza che monitorano attivamente le vulnerabilità. Non puoi aspettare il momento giusto per aggiornare: ogni giorno che passa senza patchare è un giorno in cui il tuo sito rimane esposto.

Cosa puoi fare adesso?

  1. Controlla la versione del plugin: accedi al pannello amministrativo di WordPress e verifica quale versione di LA-Studio Element Kit stai utilizzando.
  2. Aggiorna immediatamente: se la versione è inferiore a 1.6.0, aggiorna il plugin il prima possibile.
  3. Monitora il tuo sito: controlla i registri di accesso per eventuali account amministratore sospetti creati di recente.
  4. Usa un plugin di sicurezza: strumenti come Wordfence offrono protezione firewall e monitoraggio continuo delle vulnerabilità.
  5. Condividi questa informazione: se conosci altri proprietari di siti WordPress che utilizzano questo plugin, avvisali della vulnerabilità.

Technical Deep Dive

Per i professionisti della sicurezza e gli sviluppatori interessati ai dettagli tecnici:

La vulnerabilità risiede nel modo in cui il plugin gestisce le richieste AJAX durante la registrazione degli utenti. La funzione ajax_register_handle nella classe LA-Studio_Kit_Integration non implementa una validazione adeguata del parametro lakit_bkrole. Questo consente a un attaccante di inviare una richiesta HTTP appositamente costruita all’endpoint /wp-admin/admin-ajax.php e specificare direttamente user_role=administrator nei parametri della richiesta.

Il flusso di exploit è il seguente:

  1. L’attaccante identifica un sito che utilizza LA-Studio Element Kit.
  2. Accede alla pagina di registrazione del sito (se disponibile) o effettua una richiesta AJAX diretta.
  3. Nella richiesta di registrazione, include il parametro lakit_bkrole con il valore administrator.
  4. Il plugin, non verificando adeguatamente i permessi, crea un account utente con privilegi amministrativi.
  5. L’attaccante accede al pannello amministrativo e ha controllo completo del sito.

Il codice offuscato suggerisce che lo sviluppatore ha deliberatamente cercato di nascondere la backdoor dalle revisioni del codice. Questo tipo di attacco insider è particolarmente pericoloso perché il malware è integrato nel codice sorgente ufficiale e viene distribuito attraverso i canali legittimi di aggiornamento.

Dal punto di vista della mitigazione, le organizzazioni dovrebbero implementare:

  • Revisione del codice peer-to-peer: ogni commit deve essere revisionato da almeno un altro sviluppatore.
  • Analisi statica automatizzata: utilizzare strumenti che rilevano pattern sospetti nel codice.
  • Monitoraggio dei privilegi: tracciare e limitare chi ha accesso ai repository e ai sistemi di distribuzione.
  • Procedure di offboarding rigorose: revocare l’accesso immediatamente e verificare che non siano stati introdotti cambiamenti sospetti nei giorni precedenti la disattivazione dell’account.
  • Firma del codice: implementare la firma crittografica dei rilasci per verificare l’integrità dei plugin.

I ricercatori che hanno scoperto questa vulnerabilità hanno ricevuto un compenso di 975 dollari attraverso il programma di bug bounty di Wordfence, dimostrando il valore della ricerca coordinata sulla sicurezza e dell’informazione responsabile dei vendor.

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto