È stato scoperto che un plug-in WordPress utilizzato su oltre 300.000 siti Web contiene vulnerabilità che potrebbero consentire agli hacker di prendere il controllo.
Ricercatori di sicurezza presso Wordfence trovato due difetti critici nel plugin POST SMTP Mailer.
Il primo difetto ha consentito agli aggressori di reimpostare la chiave API di autenticazione del plug-in e visualizzare registri sensibili (comprese le e-mail di reimpostazione della password) sul sito Web interessato.
Un hacker malintenzionato che sfrutta la falla potrebbe accedere alla chiave dopo aver attivato la reimpostazione della password. L'aggressore potrebbe quindi accedere al sito, bloccare l'utente legittimo e sfruttare il suo accesso per causare ogni tipo di caos, inclusa la pubblicazione di contenuti non autorizzati, il collegamento a pagine Web dannose o l'installazione di backdoor.
La seconda falla nel plugin ha permesso agli hacker di inserire script dannosi nelle pagine web.
I ricercatori di Wordfence hanno contattato gli sviluppatori del plugin POST SMTP Mailer in merito al primo difetto l'8 dicembre 2023 e lo stesso giorno hanno fornito un codice di prova che dimostrava come poteva essere sfruttato.
Nella settimana prima di Natale i ricercatori hanno contattato nuovamente gli sviluppatori, questa volta in merito alla seconda vulnerabilità.
A loro merito, gli sviluppatori del plugin hanno lavorato durante le vacanze di Natale e Capodanno per correggere i difetti, pubblicando un aggiornamento (versione 2.8.8 del plugin POST SMTP Mailer) il 1 gennaio 2024, che ha risolto i problemi di sicurezza.
Sarebbe bello pensare che il problema finisca lì.
Tuttavia, come Computer che suona Appuntiquello del plugin statistiche mostrano che solo il 53% delle installazioni utilizza attualmente l’ultima versione aggiornata, il che significa che circa 150.000 siti rimangono vulnerabili.
Sono passati più di dieci anni da quando WordPress ha introdotto la possibilità di farlo aggiorna automaticamente i plugin – ma rimane un'opzione che deve essere abilitata per ogni singolo plugin.
Se gestisci un sito Web basato su WordPress che utilizza il plug-in POST SMTP Mailer, è essenziale verificare che il tuo sito sia stato aggiornato per utilizzare l'ultima versione con patch del plug-in (versione 2.8.9 al momento della scrittura).
Nota dell'editore: Le opinioni espresse in questo articolo dell'autore ospite sono esclusivamente quelle del collaboratore e non riflettono necessariamente quelle di Tripwire.
flooring
03/02/2024 a 04:10I just could not leave your web site before suggesting that I really enjoyed the standard information a person supply to your visitors Is gonna be again steadily in order to check up on new posts