Aggiornamenti recenti Novembre 18th, 2024 2:59 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
- L’API di Microsoft Power Pages può esporre dati sensibili
- Aumentano le compromissioni di account email delle forze dell’ordine: l’FBI lancia l’allarme
- Scoperta CRON#TRAP, campagna che emula ambienti Linux per ottenere persistenza
Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
István Márton, ricercatore di Wordfence, ha individuato una vulnerabilità critica presente nel plugin Really Simple Security di WordPress. Il bug consente a un attaccante di ottenere i privilegi di amministratore e prendere il controllo dell’intero sito.
La vulnerabilità, tracciata come CVE-2024-10924, è infatti un bug di authentication bypass che permette a un attaccante di ottenere accesso a qualsiasi account registrato sul sito, anche di amministratore, quando è abilitata l’autenticazione a due fattori.
“Questa è una delle vulnerabilità più gravi che abbiamo segnalato nei nostri 12 anni di storia come fornitore di sicurezza per WordPress“ ha specificato Márton.
L’autenticazione a due fattori è stata aggiunta piuttosto di recente quando il plugin ha cambiato nome da “Really Simple SSL” a “Really Simple Security”. L’aggiornamento includeva anche funzionalità per la protezione del login e l’individuazione di vulnerabilità.
La feature di autenticazione però è stata implementata in maniera non sicura, col risultato che qualsiasi utente non autenticato può prendere il controllo degli account registrato sul sito usando una semplice API REST.
Secondo i dati riportati da Márton, il plugin viene usato da oltre 4 milioni di siti. Le versioni vulnerabili del plugin sono quelle dalla 9.0.0 alla 9.1.1.1.
Il ricercatore ha individuato il bug a inizio novembre e ha contattato immediatamente il team di Really Simple Security. Il team del plugin ha rilasciato una patch risolutiva pochi giorni dopo, disponibile nella versione 9.1.2.
Visti gli impatti della vulnerabilità, Wordfence consiglia agli amministratori di siti WordPress che usano il plugin di aggiornarlo il prima possibile all’ultima versione.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione... -
Phishing, breach e trojan bancari: Acronis condivide il... L’attuale panorama delle minacce si presente sempre...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata... -
L’API di Microsoft Power Pages può esporre dati... Aaron Costello, Chief of SaaS Security Research di AppOmni,... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso...
-
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una...
Ransomware: la serie
No posts found.
