È stato scoperto un altro grave difetto di sicurezza di WordPress, quindi applica subito la patch
Recentemente è stata scoperta una vulnerabilità zero-day in un componente aggiuntivo molto popolare per WordPress costruttore di siti webmettendo potenzialmente a rischio circa 200.000 persone che lo utilizzano.
I ricercatori di sicurezza informatica di Wordfence e WPScan (entrambe società di sicurezza WordPress) hanno scoperto la vulnerabilità in Royal Elementor Addons and Templates, un kit aggiuntivo per la creazione di siti Web creato da WP Royal.
La vulnerabilità viene tracciata come CVE-2023-5360 e ha un punteggio di gravità pari a 9,8 (critico). Abusando della falla, gli autori delle minacce possono caricare file sulla piattaforma WP e persino aggirare diversi controlli del componente aggiuntivo, come i tipi di file consentiti. Ciò, in futuro, potrebbe consentire loro di assumere completamente il controllo del sito Web vulnerabile (se, ad esempio, caricassero un file che consenta l’esecuzione di codice in modalità remota).
Abusato in natura
La falla è già stata scoperta dagli autori delle minacce e utilizzata negli attacchi, hanno aggiunto i ricercatori, con attacchi che sono iniziati alla fine di agosto 2023, con un volume in aumento in modo significativo il 3 ottobre.
Wordfence ha riferito di aver identificato e bloccato più di 46.000 attacchi, mentre WPScan ha rilevato 889 casi di autori di minacce che hanno rilasciato dieci diversi payload. Sebbene possa sembrare un assalto, la maggior parte degli attacchi proviene da soli due indirizzi IP, il che potrebbe suggerire che il difetto sia noto solo a un numero limitato di hacker.
I ricercatori hanno contattato WP Royal il 3 ottobre e nel giro di tre giorni è stata rilasciata una patch. Per proteggere i propri siti Web, si consiglia agli amministratori di aggiornare il componente aggiuntivo Componenti aggiuntivi e modelli Royal Elementor alla versione 1.3.79. Esistono soluzioni di scansione sia commerciali che gratuite che possono aiutare gli amministratori a determinare se il loro sito web è suscettibile o meno, rileva BleepingComputer. Vale anche la pena ricordare che il caricamento alla versione più recente non rimuoverà automaticamente le infezioni: gli amministratori dovranno farlo manualmente.
attraverso Computer che dorme