• Casa
  • Blog
  • Wordpress
  • Bug di esecuzione del codice in modalità remota riscontrato nel popolare plug-in di backup di WordPress
Wordpress

Bug di esecuzione del codice in modalità remota riscontrato nel popolare plug-in di backup di WordPress

Da La Redazione
su 13/12/2023
WordPress_gr0e03.jpg

Bug di esecuzione del codice in modalità remota riscontrato nel popolare plug-in di backup di WordPress

Un plug-in di migrazione del backup senza patch potrebbe portare all’iniezione di codice PHP sui siti WordPress.

I cacciatori di bug hanno scoperto un difetto in un popolare plug-in di WordPress che potrebbe portare gli autori delle minacce a eseguire attacchi di iniezione di codice su siti Web vulnerabili.

Il plug-in in questione, Backup Migration, fa più o meno quello che promette ed è installato su più di 90.000 siti WordPress.

Il bug è stato segnalato agli specialisti della sicurezza di WordPress WordFence, come parte di un programma di bug bounty annunciato di recente. L’Holiday Bug Extravaganza è stato lanciato a novembre e il bug della migrazione di backup è stato segnalato il 5 dicembre.

Il 6 dicembre WordFence ha rilasciato una regola firewall per proteggere i propri clienti e lo stesso giorno ha contattato anche gli sviluppatori del plug-in vulnerabile BackupBliss. Nel giro di poche ore BackupBliss ha rilasciato la propria patch.

“Abbiamo contattato il team di BackupBliss, creatore del plug-in Backup Migration, lo stesso giorno in cui abbiamo rilasciato la nostra regola firewall”, ha detto un portavoce di WordFence in un post sul blog. “Dopo aver fornito tutti i dettagli, il team ha rilasciato una patch poche ore dopo. Complimenti al team di BackupBliss per la risposta e la patch incredibilmente rapide.”

Il bug interessa tutte le versioni di Backup Migration precedenti alla 1.3.7 inclusa. La versione più aggiornata del plug-in e quella che risolve il bug è la 1.3.8.

Il nocciolo del problema risiede nel file /includes/backup-heart.php del plug-in. Un utente malintenzionato può controllare quali valori vengono passati al plug-in in un include tramite questo file e quindi utilizzarlo per avviare l’esecuzione di codice remoto su un server WordPress.

Senza patch, i server rimangono vulnerabili e WordFence invita gli utenti a patchare i propri siti il ​​prima possibile.

Articoli Correlati

Wordpress

WordPress in conflitto con il provider hosting: aggiornamenti impossibili – Techzine Europe

Wordpress

Ottieni un tasso di conversione più elevato con l’intelligenza artificiale per WooCommerce – NewsWatch

Wordpress

Nuovo plugin WordPress semplifica il raggiungimento del successo – Search Engine Journal

Wordpress

I cinque migliori plugin di backup di WordPress per evitare disastri – SitePoint

Wordpress

Un altro dei principali plugin di WordPress presenta una grave falla di sicurezza e milioni di siti potrebbero essere interessati – MSN

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I nostri partner

Su Bannersites.com metti la tua pubblicità a costi bassissimi.

Tramite Seolink.online potrai accedere e gestire i tuoi annunci per pubblicare contenuti sul tuo sito web.

La lista completa per i guest post.

Per il tuo network, sfrutta i nostri partner di fiducia, pubblica e gestisci i tuoi backlink seo.

Copyright © 2022. Tutti i diritti Riservati. Sito web creato con ❤️ da Creo Group™ Wellness e Sponsor Elite
Supporto
1
🛎️ Chatta con noi!
Scan the code
Ciao 👋
Hai bisogno di aiuto?