Un plugin popolare per WordPress costruttore di siti web sembra contenere un grave difetto che potrebbe consentire agli autori delle minacce di rubare dati sensibili dal database del sito web.
Ricerca di Vulnerabilità dei pluginuna piattaforma che analizza la sicurezza dei plugin di WordPress ha scoperto che lo sviluppatore di WP Fastest Cache (un plugin di WordPress con più di un milione di installazioni) ha recentemente apportato una modifica al plugin nel repository Subversion sottostante la Directory dei plugin di WordPress. Questa correzione ha risolto una vulnerabilità SQL injection che consentiva agli autori delle minacce di eseguire codice SQL arbitrario sul sito Web, consentendo loro di leggere il contenuto del database WordPress.
I ricercatori hanno anche creato una prova di concetto per confermare che si può abusare del difetto in natura.
Esiste una soluzione?
La cattiva notizia è che, al momento della pubblicazione, lo sviluppatore non ha rilasciato una nuova versione del plugin, rendendo la correzione non disponibile al pubblico.
L’ultima versione, al momento della stesura di questo articolo, era la 1.2.1, motivo per cui i ricercatori hanno suggerito agli utenti di disabilitare il plugin o di sostituirlo manualmente con qualcos’altro, finché non sarà disponibile una soluzione. Tuttavia, il sito Web Fastest Cache afferma che la versione 1.2.2 è l’ultima, quindi è possibile che lo sviluppatore abbia pubblicato l’aggiornamento nel frattempo.
Sfortunatamente, non ci sono praticamente dettagli nel registro delle modifiche, con lo sviluppatore che afferma solo che sono stati apportati alcuni “miglioramenti di sicurezza”, quindi è difficile determinare se il problema sia stato risolto o meno. Plugin Vulnerabilities ha contattato lo sviluppatore Emre Vona per informarlo del difetto.
Inoltre non ci sono dettagli sul forum di supporto.
WordPress è generalmente considerato un costruttore di siti Web sicuro, ma tra le migliaia di plugin, sia gratuiti che commerciali, ce ne sono molti che sono difettosi e vengono utilizzati per compromettere centinaia di siti Web ogni giorno.
Lascia un commento