Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il plugin @docusaurus/plugin-content-docs, vanta numeri impressionanti: oltre 1,36 milioni di download solo nell’ultimo mese, più di 56.000 stelle su GitHub e circa 8.560 fork, a dimostrazione di una community globale estremamente attiva.
Lanciato quasi quattro anni fa, oggi conta 85 pacchetti che lo utilizzano come dipendenza, più di 14.800 repository che lo includono e addirittura 2,7 milioni di download Docker, segno di una crescente adozione anche in ambienti containerizzati.
Nel mondo dei plugin open source, anche un singolo errore può trasformarsi in una falla catastrofica. È il caso di docusaurus-plugin-content-gists, un plugin che permette di mostrare in una pagina del proprio sito tutti i gist pubblici di un utente GitHub.
Secondo la CVE-2025-53624 (score 10/10, severity: CRITICAL), nelle versioni precedenti alla 4.0.0 è stata scoperta una vulnerabilità gravissima: il GitHub Personal Access Token, pensato solo per essere usato in fase di build, veniva incluso per errore nei bundle JavaScript distribuiti sul sito.
Risultato? Chiunque poteva leggere il token direttamente dal codice sorgente del sito pubblicato online, con rischi enormi per la sicurezza. Il problema, corretto nella release 4.0.0, riguarda un errore banale ma letale nella gestione della configurazione: un campo contenente la chiave privata non veniva filtrato correttamente e finiva nel codice client.
Con una complessità di attacco bassa, bastava semplicemente visitare il sito e aprire la console del browser per rubare la chiave. Questo caso dimostra, ancora una volta, quanto sia fondamentale trattare con cura ogni informazione sensibile nelle configurazioni, soprattutto in plugin open source e ambienti come WordPress o Docusaurus, che spesso vengono dati per scontati ma gestiscono dati critici.
La popolarità del plugin rende ancora più preoccupante la recente scoperta di una vulnerabilità critica (score 10/10) nel plugin docusaurus-plugin-content-gists per WordPress, che poteva esporre GitHub Personal Access Tokens nei bundle JavaScript destinati al client, rendendoli visibili a chiunque visualizzasse il codice sorgente del sito.
