Wp Manage

Bug zero-day ‘critico’ riscontrato in tre popolari plugin di WordPress • Graham Cluley

Scritto da

La Redazione

in

Bug zero-day

Le versioni obsolete di tre popolari plugin di WordPress soffrono di una vulnerabilità zero-day “critica” che consente a un utente malintenzionato di prendere il controllo di un sito web.

Il bug è un difetto di iniezione di oggetti PHP che colpisce i seguenti plugin: Appuntamenti (versioni precedenti alla 2.2.2), Galleria Flickr (versioni precedenti alla 1.5.3) e RegistrationMagic-Moduli di registrazione personalizzati (versioni precedenti alla 3.7.9.3).

Insieme, questi plugin hanno una base utenti combinata di oltre 21.000 clienti WordPress. Tutti e tre hanno già ricevuto una soluzione per il problema di sicurezza, che è classificato “Critico” con un punteggio CVSS di 9,8.

Iscriviti alla nostra newsletter gratuita.
Notizie, consigli e suggerimenti sulla sicurezza.

Allora perché un punteggio così alto? Brad Haas, analista senior della sicurezza presso Wordfence, ha la risposta:

“Questa vulnerabilità ha consentito agli aggressori di fare in modo che un sito Web vulnerabile recuperasse un file remoto (una backdoor PHP) e lo salvasse in una posizione di loro scelta. Non richiedeva autenticazione o privilegi elevati. Per i siti che eseguono Flickr Gallery, gli aggressori dovevano solo inviare l’exploit come richiesta POST all’URL principale del sito. Per gli altri due plugin, la richiesta andrebbe a admin-ajax.php. Se l’aggressore fosse in grado di accedere alla propria backdoor, potrebbe prendere completamente il controllo del sito vulnerabile.”

Haas e i suoi colleghi si sono imbattuti nella vulnerabilità mentre stavano ripulendo un sito web compromesso. Sì, ciò significa che gli aggressori stanno sfruttando la falla in natura. Quindi non c’è tempo da perdere.

Parola I clienti Premium di Wordfence sono già protetti dalle regole firewall aggiornate del plug-in di sicurezza WordPress. Altri utenti farebbero bene ad assicurarsi di aver aggiornato tutti i loro plugin se ritengono di essere a rischio.

Naturalmente, assicurarsi che i plugin di WordPress siano regolarmente aggiornati per proteggerli dalle vulnerabilità note è sempre un consiglio sensato. Se amministri il tuo sito Web WordPress, assicurati di mantenere aggiornati i plug-in.

Ce ne sono sicuramente stato Abbastanza Di loro negli ultimi anni, quindi è bene prendere l’abitudine in futuro se non l’hai già fatto.

Hai trovato interessante questo articolo? Segui Graham Cluley su Twitter, MastodonteO Discussioni per leggere di più sui contenuti esclusivi che pubblichiamo.

David Bisson è un drogato di notizie sulla sicurezza informatica e giornalista di sicurezza. Lavora come redattore collaboratore per Graham Cluley Security News e redattore associato per il blog “The State of Security” di Tripwire.

Commenti

2 risposte a “Bug zero-day ‘critico’ riscontrato in tre popolari plugin di WordPress • Graham Cluley”

  1. Avatar Puravive
    Puravive

    I loved you even more than you’ll say here. The picture is nice and your writing is stylish, but you read it quickly. I think you should give it another chance soon. I’ll likely do that again and again if you keep this walk safe.

    Rispondi
  2. Avatar Puravive Reviews
    Puravive Reviews

    I loved you better than you would ever be able to express here. The picture is beautiful, and your wording is elegant; nonetheless, you read it in a short amount of time. I believe that you ought to give it another shot in the near future. If you make sure that this trek is safe, I will most likely try to do that again and again.

    Rispondi

Rispondi a Puravive Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Altri articoli