WordPress: vulnerabilità per tre plugin, aggiornare subito
Topic
Approfondimenti
Trending
tutti

Vulnerabili per alcuni noti plugin di WordPress

Gravi vulnerabilità scovate all'interno di tre plugin destinati a WordPress e utilizzati su circa 400000 siti: aggiornare subito per evitare problemi.
Vulnerabili per alcuni noti plugin di WordPress
Sicurezza Antivirus
Gravi vulnerabilità scovate all'interno di tre plugin destinati a WordPress e utilizzati su circa 400000 siti: aggiornare subito per evitare problemi.

InfiniteWP, WP Time Capsule e WP Database Reset. Sono i nomi dei tre plugin WordPress integrati in circa 400.000 siti online e interessati da una serie di vulnerabilità scovate di recente dal team di Wordfence. Già disponibili gli update correttivi.

WordPress: vulnerabilità per alcuni plugin

Nel caso di InfiniteWP (oltre 200.000 installazioni), utilizzato dagli amministratori per gestire più siti attraverso un unico server, la falla consente potenzialmente a chiunque di accedere al pannello di controllo senza essere in possesso delle credenziali: è sufficiente conoscere il nome di un account e inviare una richiesta passando un parametro tramite metodo Post. Da lì un malintenzionato è in grado di creare o eliminare profili utente così come di modificare o cancellare i contenuti innescando conseguenze che non è difficile immaginare. Tutti coloro che impiegano il plugin sono chiamati a effettuare immediatamente l’aggiornamento alla versione 1.9.4.5 appena rilasciata.

La criticità emersa in WP Time Capsule (presente su 20.000 siti), utile per semplificare il processo di backup dei database, espone nuovamente il pannello di amministrazione. Sempre tramite una richiesta Post confezionata ad hoc è possibile ottenere un elenco degli account con suddetti privilegi ed effettuare automaticamente il login al primo della lista. Il bug è stato corretto nella release 1.21.16.

Infine, la falla di WP Database Reset (circa 80.000 portali) permette di effettuare il reset di ogni tabella presente nell’archivio anche senza autenticazione. Nel caso di attacco portato a termine con successo un sito rischierebbe di perdere tutti i contenuti caricati e pubblicati. Un altro problema dello stesso plugin è quello che consente a utenti con permessi limitati di accedere a comandi riservati agli amministratori. Entrambe le vulnerabilità sono state risolte nella versione 3.15.

Al momento non ci sono prove concrete di abusi. Per scongiurarne il rischio, come già detto, per coloro che impiegano le tre componenti descritte il consiglio è quello di procedere all’update il prima possibile.

Fonte: Wordfence

Pubblicato il 17 gen 2020

Link copiato negli appunti

Ti potrebbe interessare

WordPress 5.0, contenuti organizzati in blocchi

WordPress 5.0, contenuti organizzati in blocchi
Tumblr nelle mani di Automattic (WordPress)

Tumblr nelle mani di Automattic (WordPress)
E-commerce WordPress facile con WooCommerce

E-commerce WordPress facile con WooCommerce
Sconto del 66% su Norton 360 Deluxe: l’offerta secca di Norton

Sconto del 66% su Norton 360 Deluxe: l’offerta secca di Norton
WordPress 5.0, contenuti organizzati in blocchi

WordPress 5.0, contenuti organizzati in blocchi
Tumblr nelle mani di Automattic (WordPress)

Tumblr nelle mani di Automattic (WordPress)
E-commerce WordPress facile con WooCommerce

E-commerce WordPress facile con WooCommerce
Sconto del 66% su Norton 360 Deluxe: l’offerta secca di Norton

Sconto del 66% su Norton 360 Deluxe: l’offerta secca di Norton
Cristiano Ghidotti
Pubblicato il
17 gen 2020
Link copiato negli appunti