Vulnerabilità WordPress: Aggiornamento del Mese di Ottobre

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da WebArx di alcuni dei Plugin vulnerabili noti nel mese di Ottobre.

Vulnerabilità WordPress: Aggiornamento del Mese di Ottobre

Advanced Booking Calendar 

  • Vulnerabilità: Unauthenticated SQL injection
  • Numero di siti interessati: 5.000+

CM Download Manager 

  • Vulnerabilità: Authenticated cross-site scripting
  • Numero di siti interessati: 700+

Helios Solutions Brand Logo Slider

  • Vulnerabilità: Unauthenticated SQL injection
  • Numero di siti interessati: N / D

Loginizer

  • Vulnerabilità: SQL injection non autenticata
  • Numero di siti interessati: 1 milione +

Simple Download Monitor

  • Vulnerabilità: SQL injection
  • Numero di siti interessati: 20.000+

SuperStoreFinder Plugins

  • Vulnerabilità: Unauthenticated Arbitrary File Upload
  • Numero di siti interessati: 4.000+

Super Interactive Maps for WordPress

  • Vulnerabilità: Unauthenticated Arbitrary File Upload
  • Numero di siti interessati: 600+

Super Logos Showcase for WordPress

  • Vulnerabilità: Unauthenticated Arbitrary File Upload
  • Numero di siti interessati: 200+

TI WooCommerce Wishlist

  • Vulnerabilità: Authenticated WP options change
  • Numero di siti interessati: 70.000+

Comment Press

  • Vulnerabilità: Unauthenticated cross-frame scripting
  • Numero di siti interessati: 500+

Realia

  • Vulnerabilità: Unauthenticated IDOR leading to arbitrary post deletion
  • Numero di siti interessati: N / D

Child Theme Creator by Orbisius

  • Vulnerabilità: CSRF to arbitrary file modification/creation
  • Numero di siti interessati: 30.000+

Live Chat – Live support

  • Vulnerabilità: Cross-site request forgery
  • Numero di siti interessati: 1.000+

PowerPress Podcasting Plugin by Blubrry

  • Vulnerabilità: Authenticated arbitrary file upload leading to RCE
  • Numero di siti interessati: 60.000+

Ninja Forms

  • Vulnerabilità: CSRF to RCE
  • Numero di siti interessati: 1 milione +

Coditor

  • Vulnerabilità: Arbitrary file edition, deletion, and internal directory listing in wp-content
  • Numero di siti interessati: N / D

Dynamic Content for Elementor

  • Vulnerabilità: Authenticated RCE
  • Numero di siti interessati: N / A

WPBakery Page Builder

  • Vulnerabilità: Authenticated stored cross-site scripting (XSS)
  • Numero di siti interessati: 4 milioni +

Il team Threat Intelligence di sicurezza Wordfence ha scoperto una grave vulnerabilità presente nel plugin per WordPress WPBakery, installato su oltre 4,3 milioni di siti.

WPBakery Page Builder, ex Visual Composer, è uno tra i più popolari page builder di WordPress. Tale Plugin consente di creare pagine web e personalizzarle utilizzando le funzionalità di drag and drop.

WPBakery, nonostante la sua popolartità, è interessato da una vulnerabilità molto pericolosa di tipo XSS, Authenticated Stored Cross-Site Scripting.

Questo difetto potrebbe dar modo agli utenti, con ruoli di collaboratore o autore, di inserire codice JavaScript dannoso all'interno di pagine e di post. Il problema consentirebbe inoltre di modificare post di altri utenti.

Per sicurezza, si consiglia agli utenti di eseguire l’aggiornamento alla versione più recente di Visual Composer e di verificare le impostazioni del firewall.

Meta Slider

  • Vulnerabilità: Cross-site scripting (XSS)
  • Numero di siti interessati: 800.000+

XCloner – Backup and Restore

  • Vulnerabilità: Authenticated path traversal
  • Numero di siti interessati: 30.000+

Post Grid

  • Vulnerabilità: Authenticated stored cross-site scripting (XSS)
  • Numero di siti interessati: 60.000+

Team Showcase

  • Vulnerabilità: Authenticated stored cross-site scripting (XSS)
  • Numero di siti interessati: 6.000+

WordPress + Microsoft Office 365 / Azure AD | LOGIN

  • Vulnerabilità: JWT signature verification bypass
  • Numero di siti interessati: 1.000+
Vulnerabilità WordPress: Aggiornamento del Mese di Ottobre

Software obsoleti: a rischio la sicurezza degli utenti.

Esiste una relazione molto stretta tra l'hackeraggio di un sito web e l’utilizzo di software non aggiornati o obsoleti, come nel recente caso di Adobe Flash Player, che non verrà più supportato a partire dal 2021. 
La mancanza di patch di sicurezza di tali software o degli aggiornamenti di sicurezza dei plugin fanno così perdere efficienza e integrità al sito web sul quale vengono ospitati, provocando grandi disagi a livello di cybersecurity

Tieni monitorati tutti questi aspetti per non farti trovare impreparato in vista di inaspettati e falsi tentativi di accesso al tuo sito web!

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *

Commenta con Facebook