Nonostante due fatali difetti di popolarità Plugin WordPress Dopo che è stato patchato settimane fa, centinaia di migliaia di webmaster devono ancora pubblicare l’aggiornamento, mettendo i loro siti a rischio di attacchi di dirottamento.
SEO “tutto in uno” WordPress Il plugin era vulnerabile a due difetti: CVE-2021-25036, un difetto di escalation dei privilegi di autenticazione fatale, e CVE-2021-25037, un bug di SQL injection di autenticazione ad alta gravità.
In tutto, tre milioni di siti erano vulnerabili al difetto. Nelle ultime due settimane, da quando la patch è stata rilasciata dagli sviluppatori del plugin, sono stati aggiornati più di due milioni di plugin, lasciando circa 820.000 ancora vulnerabili.
Aggiorna velocemente i plugin
Sebbene i difetti richiedano all’attaccante di autenticarsi con WordPress, hanno bisogno solo di autorizzazioni di basso livello, come Abbonato, per funzionare. Normalmente, un abbonato può solo pubblicare commenti e modificare il proprio profilo, ma con CVE-2021-25036 può elevare i propri privilegi ed eseguire codice in remoto su siti vulnerabili.
Abusare di questi difetti sui siti vulnerabili è facile, afferma il ricercatore di sicurezza automatizzato Mark Monpass, che per primo ha scoperto i difetti, poiché tutto ciò che un aggressore deve fare è cambiare “un carattere in maiuscolo” per aggirare tutti i controlli sui privilegi.
“Questo è particolarmente preoccupante perché alcuni endpoint di plugin sono molto sensibili. Ad esempio, aioseo/v1/htaccess punto finale .htaccess può essere riscritto per un sito con contenuti arbitrari”, ha affermato. Un utente malintenzionato può abusare di questa funzione per nascondere backdoor .htaccess ed eseguire codice dannoso sul server. “
Webmaster che utilizzano All in One SEO WordPress Il plug-in deve assicurarsi che sia aggiornato alla versione 4.1.5.3.
I gravi difetti dei plugin di WordPress sono relativamente comuni. Ad esempio, solo un mese fa, è apparsa una vulnerabilità in Modelli di avvio – Plugin Elementor, modelli Gutenberg e Beaver Builder, consentendo agli utenti a livello di collaboratore di sovrascrivere completamente qualsiasi pagina del sito e incorporare JavaScript dannoso a piacimento. In questo caso, erano a rischio più di un milione di siti.
nello stesso mese”Anteprima delle email di WooCommerceIl “plugin” ha anche un grave difetto, che potrebbe consentire agli aggressori di sfruttare appieno il sito. Il plugin è stato utilizzato da più di 20.000 siti.
- Potresti anche dare un’occhiata al nostro elenco di I migliori firewall Subito
attraverso: computer addormentato
“Avido alcolizzato. Fanatico della musica malvagia. Appassionato di viaggi per tutta la vita. Drogato di caffè incurabile. Appassionato di cibo freelance. Comunicatore.”
More Stories
La nuova mappa dell’Antartide di Overwatch 2 presenta i pinguini, perché ovviamente lo fanno
Il prossimo aggiornamento del sistema PS5 aggiunge la chat vocale Discord, gli aggiornamenti del controller wireless e altro ancora
Più di 20 milioni di utenti Android hanno chiesto di eliminare tre app al momento