Vulnerabilità WordPress: Aggiornamento del Mese di Settembre

Vulnerabilità WordPress: Aggiornamento del Mese di Settembre

Vulnerabilità WordPress: Aggiornamento del Mese di Settembre

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Web Arx di alcuni dei Plugin vulnerabili noti nel mese di Settembre, riscontrati anche da Wordfence.

Vulnerabilità WordPress: Aggiornamento del Mese di Settembre

WP Academic People List

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

Konnichiwa! Membership

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

3D Cover Carousel

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

More from Google

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

simpleSAMLphp Authentication

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

Custom Menu Plugin

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

Twitter Friends Widget

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

RentPress

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

SP Rental Manager

  • Vulnerabilità: Unauthenticated SQL Injection (SQLi)
  • Numero di siti interessati: N/A

User Activation Email

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

WordPress core

  • Vulnerabilità: Command injection vulnerability in the Lodash library in WordPress core; Data Exposure via REST API vulnerability; Authenticated Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

WP Simple Booking Calendar

  • Vulnerabilità: Command injection vulnerability in the Lodash library in WordPress core
  • Numero di siti interessati: 10.000+

StopBadBots

  • Vulnerabilità: Authenticated SQL Injection (SQLi)
  • Numero di siti interessati: 10.000+

WP Publications

  • Vulnerabilità: Local File Inclusion (LFI)
  • Numero di siti interessati: 10.000+

WooCommerce Multi Currency - Currency Switcher

  • Vulnerabilità: Authenticated Product Price Change
  • Numero di siti interessati: 7.000+

User Activation Email

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

Support Board

  • Vulnerabilità: Multiple Unauthenticated SQL Injection (SQLi)
  • Numero di siti interessati: 2500

Software License Manager

  • Vulnerabilità: Cross-Site Request Forgery (CSRF)
  • Numero di siti interessati: 1.000+

BulletProof Security

  • Vulnerabilità: Sensitive Information Disclosure
  • Numero di siti interessati: 60.000+

eID Easy

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 100+

Gutenberg PDF Viewer Block

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 4.000+

WordPress Popups for Marketing and Email Newsletters, Lead Generation and Conversions by OptinMonster

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 1.000.000+

Nested Pages

  • Vulnerabilità: Open Redirect, Cross-Site Request Forgery (CSRF)
  • Numero di siti interessati: 80.000+

Page Contact

  • Vulnerabilità: Authenticated SQL Injection (SQLi)
  • Numero di siti interessati: N/A

Real Media Library Lite

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 40.000+

Booster for WooCommerce

  • Vulnerabilità: Authentication Bypass
  • Numero di siti interessati: 80.000+

WP iCommerce

  • Vulnerabilità: Authenticated SQL Injection (SQLi)
  • Numero di siti interessati: N/A

Advanced Custom Fields

  • Vulnerabilità: Arbitrary ACF Data/Field Groups View and Fields Move
  • Numero di siti interessati: 1.000.000+

WooCommerce Dynamic Pricing & Discounts

  • Vulnerabilità: Unauthenticated Settings Export, Unauthenticated Settings Import and Stored XSS
  • Numero di siti interessati: 19.000+

ZoomSounds - WordPress Wave Audio Player with Playlist

  • Vulnerabilità: Unauthenticated Directory Traversal
  • Numero di siti interessati: 3.000+

UnderConstruction

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 80.000+

Product Feed on WooCommerce for Google

  • Vulnerabilità: Authenticated SQL Injection (SQLi)
  • Numero di siti interessati: 1.000+

WP Video Lightbox

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 80.000+

Simple Schools Staff Directory

  • Vulnerabilità: Arbitrary File Upload
  • Numero di siti interessati: N/A

Responsive 3D Slider

  • Vulnerabilità: Authenticated SQL Injection (SQLi)
  • Numero di siti interessati: N/A

Gutenberg Template Library & Redux Framework

  • Vulnerabilità: Incorrect Authorization Leading to Arbitrary Plugin Installation and Post Deletion
  • Numero di siti interessati: 100.000+

Easy Social Icons

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 40.000+

Pinterest Automatic Pin

  • Vulnerabilità: Unauthenticated Arbitrary WordPress Options Change
  • Numero di siti interessati: 7.000+

WordPress Automatic Plugin

  • Vulnerabilità: Unauthenticated Arbitrary WordPress Options Change
  • Numero di siti interessati: 26.000+

YITH Maintenance Mode

  • Vulnerabilità: Multiple Authenticated Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 9.000+

Ninja Forms Contact Form – The Drag and Drop Form Builder for WordPress

  • Vulnerabilità: Unprotected REST-API to Sensitive Information Disclosure, Unprotected REST-API to Email Injection
  • Numero di siti interessati: 1.000.000+

Video Player for YouTube

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 2.000+

WP Mega Menu

  • Vulnerabilità: Arbitrary Post Access
  • Numero di siti interessati: 20.000+

Countdown and CountUp, WooCommerce Sales Timer

  • Vulnerabilità: Cross-Site Request Forgery (CSRF) vulnerability leading to Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 500+

Stripe For WooCommerce

  • Vulnerabilità: Missing Authorization Controls to Financial Account Hijacking
  • Numero di siti interessati: 70.000+

JobSearch WP Job Board

  • Vulnerabilità: Unauthenticated Settings Change
  • Numero di siti interessati: 1.000+

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.

 

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *

Commenta con Facebook