Vulnerabilità WordPress: Aggiornamento del Mese di Novembre

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da WebArx e Wordfence di alcuni dei Plugin vulnerabili noti nel mese di Novembre.

 

Vulnerabilità WordPress: Aggiornamento del Mese di Novembre

WP Google Map Plugin

  • Vulnerabilità: Authenticated SQL injection
  • Numero di siti interessati: 100.000+

Events Manager

  • Vulnerabilità: Authenticated stored cross-site scripting
  • Numero di siti interessati: 100.000+

WPJobBoard

  • Vulnerabilità: Unauthenticated reflected XSS & XFS
  • Numero di siti interessati: N/A

Media Library Assistant

  • Vulnerabilità: Authenticated blind SQL injection
  • Numero di siti interessati: 60.000+

WooCommerce Anti-Fraud

  • Vulnerabilità: Unauthenticated order status manipulation
  • Numero di siti interessati: N/A

Secure File Manager

  • Vulnerabilità: Authenticated remote command execution
  • Numero di siti interessati: 1.000+

Anti-Spam by CleanTalk

  • Vulnerabilità: CSV injection
  • Numero di siti interessati: 100.000+

Weforms

  • Vulnerabilità: CSV injection
  • Numero di siti interessati: 20.000+

Easy Registration Forms

  • Vulnerabilità: CSV injection
  • Numero di siti interessati: 10.000+

Import and export users and customers

  • Vulnerabilità: CSV injection
  • Numero di siti interessati: 50.000+

Contextual Related Posts

  • Vulnerabilità: CSRF nonce validation bypass
  • Numero di siti interessati: 80.000+

Fancy Product Designer

  • Vulnerabilità: Unauthenticated stored cross-site scripting
  • Numero di siti interessati: 15.000+

CSV Import / Export by AitThemes

  • Vulnerabilità: Unauthenticated arbitrary file upload
  • Numero di siti interessati:  N/A

BA Book Everything

  • Vulnerabilità: Unauthenticated reflected XSS & XFS
  • Numero di siti interessati:  N/A

Love Travel

  • Vulnerabilità: Unauthenticated reflected XSS & XFS
  • Numero di siti interessati: 5.000+

Good LMS

  • Vulnerabilità: Unauthenticated SQL injection
  • Numero di siti interessati: 1.000+

WooCommerce Blocks

  • Vulnerabilità: Guest account creation
  • Numero di siti interessati: 200.000+

WP Activity Log

  • Vulnerabilità: SQL injection in an external database module
  • Numero di siti interessati: 100.000+

Abandoned Cart Lite for WooCommerce

  • Vulnerabilità: Unauthenticated SQL injection
  • Numero di siti interessati: 30.000+

Ultimate Reviews

  • Vulnerabilità: Insecure deserialization
  • Numero di siti interessati: 2.000+

Ultimate Member Plugin

  • Vulnerabilità: Privilege escalation
  • Numero di siti interessati: 100.000+

Team Showcase Plugin

  • Vulnerabilità: Stored cross-site scripting (XSS)
  • Numero di siti interessati: 5.000+

Post Grid

  • Vulnerabilità: Stored cross-site scripting (XSS)
  • Numero di siti interessati: 70.000+

GDPR CCPA Compliance Support

  • Vulnerabilità: Unauthenticated PHP object injection
  • Numero di siti interessati: 1.000+

Welcart e-Commerce

  • Vulnerabilità: Authenticated PHP object injection
  • Numero di siti interessati: 20.000+

AccessPress Social Icons

  • Vulnerabilità: Authenticated SQL injection
  • Numero di siti interessati: 40.000+

WordPress

  • Vulnerabilità: Reflected XSS
  • Numero di siti interessati: N/A

Greenmart

  • Vulnerabilità: Unauthenticated reflected cross-site scripting (XSS)
  • Numero di siti interessati: 2.000+

SW Ajax WooCommerce Search

  • Vulnerabilità: Unauthenticated reflected XSS & XFS
  • Numero di siti interessati: N/A

Come segnalato da Wordfence, nella versione di WordPress 5.5.2 sono state riscontrate nel mese di Novembre 8 diverse vulnerabilità:

  • Object Injection
  • Embeds on deactivated Multisite sites 
  • Injected JavaScript e Cross-Site Scripting (XSS)
  • Improve logic check when determining installation status
  • Improper ID controls
  • Improve error messages for unprivileged users
  • Bypass meta keys
  • Cross-Site Request Forgery

Inoltre, su più di 150.000 siti che utilizzano Epsilon Framework è stata rilevata un'ondata di attacchi su larga scala contro le vulnerabilità di Function Injection.

Sito web compromesso: può influenzare i tuoi visitatori?

Sito web compromesso: può influenzare i tuoi visitatori?

Oggi la presenza online delle aziende è fondamentale per acquisire nuovi clienti e vendere i propri prodotti. Ma hai considerato anche gli aspetti legati alla sicurezza informatica, oltre che all'estetica e alle funzionalità durante la realizzazione del tuo sito web?

Metti al sicuro il tuo sito web e i tuoi visitatori!

Per evitare che un attacco hacker colpisca la tua reputazione aziendale rendendo inaccessibili le pagine web del tuo sito internet ai visitatori, o che peggio ancora, provochi un furto di dati personali (data breach) nei confronti dei tuoi utenti, sviluppa una strategia preventiva di sicurezza informatica.

Permettere agli utenti di navigare sicuri su siti web affidabili è importante. Per questo mettere in sicurezza un sito web diventa un requisito fondamentale sotto tutti i fronti.  

Hai bisogno di assistenza per risolvere problematiche legate alle numerose vulnerabilità riscontrate sul tuo sito web? Contatta il nostro staff!

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *

Commenta con Facebook