Sito WordPress proprietari che utilizzano il Semplice Pulsanti Social plugin per supportare la condivisione sui social media dovrebbero aggiornare il plugin appena possibile collegare un buco di sicurezza che può essere sfruttato per prendere in consegna i siti.
Luka Šikić, sviluppatore e ricercatore presso WordPress ditta di sicurezza WebARX, scoperto il problema di sicurezza la scorsa settimana e ha segnalato il problema al plugin autore.
In un rapporto pubblicato oggi, ha descritto il problema come un “uso improprio di progettazione flusso concatenato con la mancanza di controllo di permesso.”
Egli dice che un utente malintenzionato in grado di registrare nuovi account su un sito in grado di sfruttare questa vulnerabilità per apportare modifiche a un sito WordPress impostazioni principale, al di fuori di ciò che il plugin è stato inizialmente pensato per gestire.
Queste modifiche possono consentire a un utente malintenzionato di assumere siti per l’installazione di backdoor o il prelievo account admin.
In un video dimostrativo pubblicato su YouTube oggi, Šikić ha mostrato quanto sia pericolosa la vulnerabilità è da cambiare l’indirizzo email associato con un sito WordPress admin del conto.
Šikić dice di aver notificato WPBrigade, la società dietro il plugin, la scorsa settimana, e hanno rilasciato una patch, un giorno dopo la sua relazione.
Si consiglia agli utenti di installare Semplici Sociale Pulsanti versione 2.0.22, uscito lo scorso venerdì, 8 febbraio.
Il problema non dovrebbe essere presa alla leggera, per le sue conseguenze. Alcuni siti sono intrinsecamente protetto contro questa vulnerabilità, come i loro amministratori hanno già bloccato la registrazione dell’utente per motivi di sicurezza.
Tuttavia, i siti che consentono agli utenti di registrarsi per pubblicare i commenti sul blog sono vulnerabili agli attacchi e si deve applicare il plugin di aggiornare il più presto possibile.
Il plugin è stato installato su oltre 40.000 siti web, secondo le statistiche ufficiali Plugin WordPress repository, il che rende una destinazione attraente per WordPress botnet operatori.
Relative la copertura di sicurezza:
Google mette in guardia circa due iOS zero-giorni ‘sfruttata’New la crittografia TLS-busting attacco impatti anche il più recente TLS 1.3 Microsoft: il 70 per cento di tutti i bug di sicurezza sono la memoria questioni di sicurezza
Nuovo macOS zero-day permette il furto di utente passwordsMicrosoft: Migliorate caratteristiche di sicurezza stanno ritardando agli hacker di attaccare gli utenti di Windows
Nuova falla di sicurezza impatti 5G, 4G, 3G protocolli di telefonia
Google vuole pagare 15.000 dollari per migliorare la sicurezza del cloud TechRepublicKRACK attacco: Ecco come le aziende stanno rispondendo CNET
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati