I pulsanti social sono pericolosi per Wordpress
Il componente aggiuntivo Simple Social Buttons di Wpbrigade permette virtualmente a chiunque di modificare le opzioni di installazione della piattaforma Cms. Gli sviluppatori hanno rilasciato una patch.
Pubblicato il 12 febbraio 2019 da Redazione

La condivisione social dei contenuti caricati su siti Wordpress potrebbe trasformarsi in un serio problema di sicurezza. Il ricercatore Luka Šikić di Webarx ha scovato un bug nei plugin Simple Social Buttons di Wpbrigade, che permettono agli utilizzatori del noto Cms di aggiungere pulsanti alle pagine per facilitare la condivisione di notizie su Facebook, Twitter e così via. Secondo il repository di Wordpress, questo componente aggiuntivo conta circa 40mila installazioni attive e oltre 500mila download (dati Wpbrigade). Secondo Šikić, i pulsanti sono stati progettati in modo errato e mancano dei necessari controlli sui permessi.
Sfruttando le vulnerabilità, un hacker potrebbe causare un’escalation dei privilegi e consentire così virtualmente a chiunque di accedere alla tabella wp_options e modificare le opzioni di installazione del Cms. Anche un semplice utente registrato al sito potrebbe interferire con la normale amministrazione delle pagine.
Alcuni amministratori, come riportato da Zdnet, sarebbero già al sicuro perché avrebbero bloccato le registrazioni. Il ricercatore ha avvisato gli sviluppatori, i quali hanno rilasciato una patch in poco tempo. Sono affette dalla vulnerabilità tutte le versioni precedenti del plugin. Il consiglio, quindi, è quello di installare il prima possibile l’aggiornamento, che porta lo strumento Simple Social Buttons alla release numero 2.0.22.
SICUREZZA
- Phishing, attenzione alle nuove tattiche che superano i controlli
- Sicurezza in cloud più completa con l’accordo tra SentinelOne e Wiz
- Aziende lente, solo il 10% risponde alle cyber minacce entro un’ora
- Nuova struttura a tre livelli per il programma partner di Rubrik
- Gli errori di configurazione del cloud sono quasi ubiqui
NEWS
- Videosorveglianza con AI per le Olimpiadi di Parigi del 2024
- Altair unifica analisi dei dati e Ai nella piattaforma RapidMiner
- Trasformazione digitale, in Europa buone attese ma progetti lenti
- Nuove Gpu e alleanze nel cloud per spingere l’AI di Nvidia
- Data center Aruba, l’impegno per la sostenibilità è certificato