La falla risiede in un plugin molto diffuso.
[ZEUS News - www.zeusnews.it - 03-07-2017]
Se avete un blog su WordPress - una delle piattaforme più usate - fate attenzione: è appena stata scoperta una falla che interessa oltre 300.000 siti.
Il bug non si nasconde nel codice di base di WordPress, ma in quello di un plugin: si tratta di WP Statistics, che permette agli amministratori dei siti di ottenere informazioni sui visitatori.
La falla, scoperta dal team di Sucuri, consente a chi la sfrutta di portare un attacco del tipo SQL Injection.
Per farlo, però, il malintenzionato deve per lo meno possedere un account registrato presso il sito bersaglio: non importa quali privilegi abbia l'account, ma deve almeno esistere.
Se questo requisito è soddisfatto - e ovviamente se il plugin è presente - allora diventa possibile sottrarre dal sito informazioni e addirittura prenderne il controllo.
«Questa falla» - spiegano i suoi scopritori - «è causata da una mancanza di sanificazione dei dati forniti dagli utenti».
Le versioni di WP Statistics vulnerabili sono quelli precedenti la 12.0.8: con questa, infatti, il team di sviluppo ha già corretto il bug.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
