Vulnerabilità WordPress: Aggiornamento del Mese di Febbraio

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Web Arx di alcuni dei Plugin vulnerabili noti nel mese di Febbraio, riscontrati anche da Wordfence.

Vulnerabilità WordPress: Aggiornamento del Mese di Febbraio

WordPress Mega Menu – QuadMenu

  • Vulnerabilità: Remote code execution (RCE)
  • Numero di siti interessati: 20.000+

WP Private Content Plus

  • Vulnerabilità: Cross-site request forgery (CSRF)
  • Numero di siti interessati: 8.000+

Custom Banners

  • Vulnerabilità: Cross-site request forgery (CSRF) vulnerability
  • Numero di siti interessati: 7.000+

WordPress Backup and Migrate Plugin – Backup Guard

  • Vulnerabilità: Authenticated arbitrary file upload vulnerability
  • Numero di siti interessati: 70.000+

Ninja Forms Contact Form – The Drag and Drop Form Builder for WordPress

  • Vulnerabilità: Authenticated SendWP plugin installation and client secret key disclosure vulnerability, Authenticated OAuth connection key disclosure vulnerability, Administrator open redirect vulnerability, Cross-site request forgery (CSRF) vulnerability
  • Numero di siti interessati: 1 millione+

WP Ticket Customer Service Software & Support Ticket System

  • Vulnerabilità: Cross-site scripting (XSS) 
  • Numero di siti interessati: 600+

Teaser Maker

  • Vulnerabilità: Cross-site scripting (XSS) 
  • Numero di siti interessati: N/A

Ad Swapper

  • Vulnerabilità: Cross-site scripting (XSS) 
  • Numero di siti interessati: N/A

Drug Search

  • Vulnerabilità: Cross-site scripting (XSS) 
  • Numero di siti interessati: N/A

WP Inimat

  • Vulnerabilità: Cross-site scripting (XSS) 
  • Numero di siti interessati: N/A

Theme Editor

  • Vulnerabilità: Multiple authenticated arbitrary file download vulnerabilities
  • Numero di siti interessati: 50.000+

ElasticPress

  • Vulnerabilità: Nonce check bypass
  • Numero di siti interessati: 6.000+

All In One WP Security & Firewall

  • Vulnerabilità: Authenticated cross-site scripting (XSS)
  • Numero di siti interessati: 900.000+

Responsive Menu – Create Mobile-Friendly Menu

  • Vulnerabilità: Cross-site request forgery (CSRF) leading to arbitrary file upload, cross-site request forgery (CSRF) leading to setting modification, and authenticated arbitrary file upload vulnerability
  • Numero di siti interessati: 100.000+

Map Block for Google Maps

  • Vulnerabilità: Google API key manipulation
  • Numero di siti interessati: 6.000+

Welcart e-Commerce

  • Vulnerabilità: SQL injection (SQLi)
  • Numero di siti interessati: 20.000+

NextGen Gallery

  • Vulnerabilità: Cross-site request forgery (CSRF) leading to XSS and RCE via file upload and LFI
  • Numero di siti interessati: 800.000+

Backup by Supsystic

  • Vulnerabilità: Local file inclusion (LFI)
  • Numero di siti interessati: 1.000+

Contact Form by Supsystic

  • Vulnerabilità: Stored cross-site scripting (XSS) and SQL injection (SQLi)
  • Numero di siti interessati: 20.000+

Data Tables Generator by Supsystic

  • Vulnerabilità: Stored cross-site scripting (XSS) and SQL injection (SQLi)
  • Numero di siti interessati: 30.000+

Digital Publications by Supsystic

  • Vulnerabilità: Stored cross-site scripting (XSS) and path traversal and DoS vulnerability
  • Numero di siti interessati: 3.000+

Membership by Supsystic

  • Vulnerabilità: SQL injection (SQLi)
  • Numero di siti interessati: 900+

Newsletter by Supsystic

  • Vulnerabilità: SQL injection (SQLi)
  • Numero di siti interessati: 1.000+

Like Button Rating ♥ LikeBtn

  • Vulnerabilità: Unauthenticated server-side request forgery (SSRF)
  • Numero di siti interessati: 8.000+

Wyzi Premium

  • Vulnerabilità: Cross-site scripting (XSS)
  • Numero di siti interessati: 2.000+

Paid Memberships Pro

  • Vulnerabilità: Insecure direct object reference & sensitive information disclosure
  • Numero di siti interessati: 100.000+

Ultimate GDPR & CCPA Compliance Toolkit for WordPress

  • Vulnerabilità: Unauthenticated settings import & export vulnerability
  • Numero di siti interessati: 6.000+

Contact Form 7 Style

  • Vulnerabilità: Cross-site request forgery (CSRF) leading to stored cross-site scripting (XSS)
  • Numero di siti interessati: 50.000+

MStore API

  • Vulnerabilità: Bypass vulnerability in Apple login authentication method
  • Numero di siti interessati: 4.000+

Photo Gallery by 10Web

  • Vulnerabilità: Cross-site scripting (XSS)
  • Numero di siti interessati: 300.000+

WP Editor

  • Vulnerabilità: SQL injection (SQLi)
  • Numero di siti interessati: 60.000+
Come avere siti sicuri e proteggersi da attacchi informatici?

Come avere siti sicuri e proteggersi da attacchi informatici?

Ogni giorno migliaia di siti web sono il bersaglio preferito di hacker che effettuano tutta una serie di operazioni atte a danneggiare la nostra presenza online.

Sicuramente il modo migliore per garantire lunga vita ad un sito internet e alla propria attività sul web è la scelta di un hosting performante, ma è importante prendere in considerazione anche altre soluzioni avanzate per la protezione dei dati sensibili.

Uno strumento validissimo per rendere ancora più efficace la strategia di difesa da attacchi hacker è l’utilizzo di BitNinja.

Di cosa si tratta? Scopri quali sono i vantaggi scegliendo un Hosting con Bitninja.
 

Resta sempre aggiornato con noi per costruire con noi la tua completa sicurezza web!

 

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *

Commenta con Facebook