Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Lug 21, 2016 Marco Schiaffino Hacking, Intrusione, News, Vulnerabilità 0
La notizia è di quelle a cui bisogna prestare attenzione, soprattutto se si gestiscono siti amministrati con WordPress. Stando a quanto pubblicato dalla comunità hacker che si raccoglie intorno al Summer of Pwnage (un hacking festival in corso nel mese di luglio) la piattaforma sarebbe vulnerabile a varie forme di attacco.
Nel mirino ci sono alcuni strumenti piuttosto popolari. Il primo è Ninja Forms, utilizzato per creare moduli sulle pagine Web di WordPress. Il plug-in sarebbe vulnerabile a un Multiple Cross-Site Scripting che permetterebbe l’esecuzione di codice in remoto.
Un problema non di poco conto se si considera che sul sito ufficiale di Ninja Forms il counter indica quasi 3 milioni di download e che nella sezione dedicata ai plug-in di WordPress viene accreditato di oltre 60.000 installazioni.
Nella pagina Web che illustra la vulnerabilità, gli hacker di Summer of Pwnage hanno inserito anche un link da cui è possibile scaricare la versione aggiornata del plug-in in cui il problema è stato risolto.
L’altro plug-in a rischio è un lettore video, che soffrirebbe di numerose vulnerabilità. In questo caso si tratta di una SQL Injection che consentirebbe a un qualsiasi utente di estrarre informazioni (per esempio la password di amministratore) dal database. Anche in questo caso la soluzione è disponibile e la versione aggiornata del Video Player può essere scaricata qui.
Non ne esce indenne nemmeno Icegram, un plug-in che consente per esempio la creazione di Pop-Up e notifiche nelle pagine Web. Stando a quanto scoperto dagli hacker riuniti ad Amsterdam per il Summer of Pwnage, infatti, un pirata potrebbe sfruttare una falla nel suo codice per modificare le opzioni di WordPress attivando qualsiasi funzione desideri.
Un giochetto che, secondo i ricercatori, potrebbe consentire di “aprire” funzioni vulnerabili e permettere così un attacco al sito. La vulnerabilità è stata corretta nella versione 1.9.19 pubblicata due giorni fa.
Gen 18, 2019 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...