Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Vulnerabilità in WordPress: migliaia di siti a rischio
Le falle di sicurezza individuate da un gruppo di hacker olandesi. A soffrirne sono due popolari plug-in per il Content Management System più usato al mondo.
La notizia è di quelle a cui bisogna prestare attenzione, soprattutto se si gestiscono siti amministrati con WordPress. Stando a quanto pubblicato dalla comunità hacker che si raccoglie intorno al Summer of Pwnage (un hacking festival in corso nel mese di luglio) la piattaforma sarebbe vulnerabile a varie forme di attacco.
Nel mirino ci sono alcuni strumenti piuttosto popolari. Il primo è Ninja Forms, utilizzato per creare moduli sulle pagine Web di WordPress. Il plug-in sarebbe vulnerabile a un Multiple Cross-Site Scripting che permetterebbe l’esecuzione di codice in remoto.
Un problema non di poco conto se si considera che sul sito ufficiale di Ninja Forms il counter indica quasi 3 milioni di download e che nella sezione dedicata ai plug-in di WordPress viene accreditato di oltre 60.000 installazioni.
Nella pagina Web che illustra la vulnerabilità, gli hacker di Summer of Pwnage hanno inserito anche un link da cui è possibile scaricare la versione aggiornata del plug-in in cui il problema è stato risolto.
Un mese di festival per andare a caccia di bug nei software open source. Il Summer of Pwnage si sta tenendo ad Amsterdam proprio in questi giorni.
L’altro plug-in a rischio è un lettore video, che soffrirebbe di numerose vulnerabilità. In questo caso si tratta di una SQL Injection che consentirebbe a un qualsiasi utente di estrarre informazioni (per esempio la password di amministratore) dal database. Anche in questo caso la soluzione è disponibile e la versione aggiornata del Video Player può essere scaricata qui.
Non ne esce indenne nemmeno Icegram, un plug-in che consente per esempio la creazione di Pop-Up e notifiche nelle pagine Web. Stando a quanto scoperto dagli hacker riuniti ad Amsterdam per il Summer of Pwnage, infatti, un pirata potrebbe sfruttare una falla nel suo codice per modificare le opzioni di WordPress attivando qualsiasi funzione desideri.
Un giochetto che, secondo i ricercatori, potrebbe consentire di “aprire” funzioni vulnerabili e permettere così un attacco al sito. La vulnerabilità è stata corretta nella versione 1.9.19 pubblicata due giorni fa.
Condividi l'articolo
Grave vulnerabilità in iOS e Mac. Chi non aggiorna rischia grosso
Bucato il forum Ubuntu: rubati i dati di 2 milioni di account
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
