Bug in WordPress, oltre 300.000 siti a rischio

La falla risiede in un plugin molto diffuso.



[ZEUS News - www.zeusnews.it - 03-07-2017]

wordpress sql injection

Se avete un blog su WordPress - una delle piattaforme più usate - fate attenzione: è appena stata scoperta una falla che interessa oltre 300.000 siti.

Il bug non si nasconde nel codice di base di WordPress, ma in quello di un plugin: si tratta di WP Statistics, che permette agli amministratori dei siti di ottenere informazioni sui visitatori.

La falla, scoperta dal team di Sucuri, consente a chi la sfrutta di portare un attacco del tipo SQL Injection.

Per farlo, però, il malintenzionato deve per lo meno possedere un account registrato presso il sito bersaglio: non importa quali privilegi abbia l'account, ma deve almeno esistere.

Se questo requisito è soddisfatto - e ovviamente se il plugin è presente - allora diventa possibile sottrarre dal sito informazioni e addirittura prenderne il controllo.

Sondaggio
Quali di questi dati ti spiacerebbe perdere di più?
Dati finanziari e di pagamento
Documenti relativi al lavoro
Email personali
Email di lavoro
Messaggi personali (SMS, Whatsapp ecc.)
Foto dei miei bambini
Foto dei viaggi
Foto private o particolari o sensibili di me stesso
Foto private o particolari o sensibili del mio partner
Altre foto (non sensibili)
Note e documenti personali
Password
Rubrica degli indirizzi o dei contatti telefonici
Scansioni di passaporti, patenti, assicurazioni e altri documenti personali

Mostra i risultati (1734 voti)
Leggi i commenti (30)

«Questa falla» - spiegano i suoi scopritori - «è causata da una mancanza di sanificazione dei dati forniti dagli utenti».

Le versioni di WP Statistics vulnerabili sono quelli precedenti la 12.0.8: con questa, infatti, il team di sviluppo ha già corretto il bug.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Fai uso del pagamento contactless?
Sì, lo trovo molto comodo.
Lascio scegliere all'esercente.
Non so cosa sia.
No, le mie carte non sono abilitate.
No, non mi fido

Mostra i risultati (2502 voti)
Aprile 2024
TIM, altre ''rimodulazioni'' in arrivo
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
Hype e Banca Sella, disservizi a profusione
Falla nei NAS D-Link, ma la patch non arriverà mai
La navigazione in incognito non è in incognito
Le tre stimmate della posta elettronica
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
Buone azioni e serrature ridicole
Il piano Merlyn, ovvero la liquidazione di Tim
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
L'antenato di ChatGPT in un foglio Excel
La valle inquietante
La crisi di Tim e la divisione sindacale
La fine del mondo, virtuale
WhatsApp e Messenger aprono agli altri servizi di chat
Tutti gli Arretrati
Accadde oggi - 24 aprile


web metrics