Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
Nov 18, 2024 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0
István Márton, ricercatore di Wordfence, ha individuato una vulnerabilità critica presente nel plugin Really Simple Security di WordPress. Il bug consente a un attaccante di ottenere i privilegi di amministratore e prendere il controllo dell’intero sito.
La vulnerabilità, tracciata come CVE-2024-10924, è infatti un bug di authentication bypass che permette a un attaccante di ottenere accesso a qualsiasi account registrato sul sito, anche di amministratore, quando è abilitata l’autenticazione a due fattori.
“Questa è una delle vulnerabilità più gravi che abbiamo segnalato nei nostri 12 anni di storia come fornitore di sicurezza per WordPress“ ha specificato Márton.
L’autenticazione a due fattori è stata aggiunta piuttosto di recente quando il plugin ha cambiato nome da “Really Simple SSL” a “Really Simple Security”. L’aggiornamento includeva anche funzionalità per la protezione del login e l’individuazione di vulnerabilità.
La feature di autenticazione però è stata implementata in maniera non sicura, col risultato che qualsiasi utente non autenticato può prendere il controllo degli account registrato sul sito usando una semplice API REST.
Secondo i dati riportati da Márton, il plugin viene usato da oltre 4 milioni di siti. Le versioni vulnerabili del plugin sono quelle dalla 9.0.0 alla 9.1.1.1.
Il ricercatore ha individuato il bug a inizio novembre e ha contattato immediatamente il team di Really Simple Security. Il team del plugin ha rilasciato una patch risolutiva pochi giorni dopo, disponibile nella versione 9.1.2.
Visti gli impatti della vulnerabilità, Wordfence consiglia agli amministratori di siti WordPress che usano il plugin di aggiornarlo il prima possibile all’ultima versione.
Apr 29, 2025 0
Apr 28, 2025 0
Apr 16, 2025 0
Apr 14, 2025 0
Apr 30, 2025 0
Apr 24, 2025 0
Apr 23, 2025 0
Apr 22, 2025 0
Apr 29, 2025 0
Secondo una recente analisi pubblicata dal Threat...Apr 18, 2025 0
I ricercatori di Cisco Talos hanno pubblicato una nuova...Apr 15, 2025 0
La diffusione dell’IA e il progressivo miglioramento...Apr 09, 2025 0
Gli agenti di IA stanno diventando sempre più capaci, in...Apr 07, 2025 0
I file PDF possono diventare molto pericolosi: stando a una...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 30, 2025 0
Quest’anno la RSA Conference, il più grande evento...Apr 29, 2025 0
Secondo una recente analisi pubblicata dal Threat...Apr 28, 2025 0
Una delle ultime patch di Windows, rilasciata per risolvere...Apr 24, 2025 0
I ricercatori di Dr. Web, fornitore russo di software...Apr 23, 2025 0
A sei anni dal primo annuncio, Google ha deciso di...