I pulsanti social sono pericolosi per Wordpress

La condivisione social dei contenuti caricati su siti Wordpress potrebbe trasformarsi in un serio problema di sicurezza. Il ricercatore Luka Šikić di Webarx ha scovato un bug nei plugin Simple Social Buttons di Wpbrigade, che permettono agli utilizzatori del noto Cms di aggiungere pulsanti alle pagine per facilitare la condivisione di notizie su Facebook, Twitter e così via. Secondo il repository di Wordpress, questo componente aggiuntivo conta circa 40mila installazioni attive e oltre 500mila download (dati Wpbrigade). Secondo Šikić, i pulsanti sono stati progettati in modo errato e mancano dei necessari controlli sui permessi.

Sfruttando le vulnerabilità, un hacker potrebbe causare un’escalation dei privilegi e consentire così virtualmente a chiunque di accedere alla tabella wp_options e modificare le opzioni di installazione del Cms. Anche un semplice utente registrato al sito potrebbe interferire con la normale amministrazione delle pagine.

Alcuni amministratori, come riportato da Zdnet, sarebbero già al sicuro perché avrebbero bloccato le registrazioni. Il ricercatore ha avvisato gli sviluppatori, i quali hanno rilasciato una patch in poco tempo. Sono affette dalla vulnerabilità tutte le versioni precedenti del plugin. Il consiglio, quindi, è quello di installare il prima possibile l’aggiornamento, che porta lo strumento Simple Social Buttons alla release numero 2.0.22.