Questo plugin WordPress con 5 milioni di utenti potrebbe avere una grave falla di sicurezza
I ricercatori di sicurezza informatica di Patchstack hanno recentemente scoperto un difetto di elevata gravità in una popolare estensione per WordPressche consente agli autori delle minacce di esfiltrare informazioni sensibili da siti Web vulnerabili.
La vulnerabilità viene tracciata come CVE-2023-40004 e viene descritta come tale da consentire agli utenti non autenticati di accedere e modificare le configurazioni dei token. Il difetto è stato riscontrato in un’estensione chiamata All-in-One WP Migration, che conta cinque milioni di installazioni attive.
Questo è un componente aggiuntivo che consente agli amministratori WP non tecnici di migrare rapidamente e senza problemi i propri dati WP da un luogo a un altro. Detto questo, si potrebbe abusare della falla per reindirizzare i dati di migrazione dei siti Web ai server degli autori delle minacce o per ripristinare backup dannosi.
Diversi componenti aggiuntivi vulnerabili
Il difetto è stato scoperto a metà luglio di quest’anno ed è stato successivamente segnalato ai creatori del plugin, ServMask. L’azienda ha rilasciato un aggiornamento circa una settimana dopo, risolvendo il problema con l’autorizzazione e la convalida nonce della funzione init.
Il lato positivo, secondo BleepingComputer, è che l’estensione viene utilizzata solo durante la migrazione e non dovrebbe essere attiva (e quindi rappresentare una minaccia) in nessun altro momento.
La cattiva notizia è che i ricercatori hanno trovato lo stesso pezzo di codice vulnerabile in alcune altre estensioni dello stesso produttore, inclusa l’estensione Box, Google Estensione Drive, estensione One Drive ed estensione Dropbox.
Per proteggere i propri siti Web, si consiglia agli amministratori WP di assicurarsi che le proprie estensioni siano aggiornate a queste versioni:
Estensione della casella: v1.54
Estensione di Google Drive: v2.80
Estensione di OneDrive: v1.67
Estensione Dropbox: v3.76
La migrazione WP All-in-One dovrebbe essere aggiornata alla versione 7.78.
WordPress è di gran lunga il sistema di gestione dei contenuti (CMS) più popolare al mondo, con circa la metà di tutti i siti Internet gestiti da questo prodotto. In quanto tale, è un obiettivo popolare tra i criminali informatici.
Sebbene WordPress stesso sia generalmente considerato sicuro, sono i componenti aggiuntivi (soprattutto quelli gratuiti) che di solito rappresentano l’anello più debole nella catena della sicurezza informatica.
Attraverso: Computer che dorme
Exilean
11/12/2023 a 20:15I’m overjoyed that I discovered this website on Bing because it is exactly what I was looking for, and I’ve already saved it to my bookmarks.