Gli esperti del Digital marketing

Potenzia il tuo business online con Monkey Digital SEO: sfrutta al massimo il potenziale del marketing strategico digitale.

La vulnerabilità del plug-in di sicurezza di WordPress colpisce oltre 1 milione di siti

La vulnerabilità del plug-in di sicurezza di WordPress colpisce oltre 1 milione di siti

Il plug-in di sicurezza di WordPress ha scoperto di avere due vulnerabilità che potrebbero consentire un caricamento dannoso, cross-site scripting e consentire la visualizzazione di contenuti di file arbitrari.

Plugin WordPress per la sicurezza All-In-One (AIOS).

Il plug-in WordPress All-In-One Security (AIOS), fornito dagli editori di UpdraftPlus, offre funzionalità di sicurezza e firewall progettate per bloccare gli hacker.

Offre protezione di sicurezza dell'accesso che blocca gli aggressori, protezione dal plagio, blocca l'hotlinking, blocca i commenti spam e un firewall che funge da difesa contro le minacce di hacking.

Il plug-in applica inoltre la sicurezza proattiva avvisando gli utenti di errori comuni come l'utilizzo del nome utente "admin".

È una suite di sicurezza completa supportata dai creatori di Updraft Plus, uno degli editori di plug-in WordPress più affidabili.

Queste qualità rendono AIOS molto popolare, con oltre un milione di installazioni di WordPress.

Due vulnerabilità

Il National Vulnerability Database (NVD) del governo degli Stati Uniti ha pubblicato un paio di avvisi su due vulnerabilità.

1. Mancata sanificazione dei dati

La prima vulnerabilità è dovuta a un errore di sanificazione dei dati, in particolare un errore nell'evitare i file di registro.

L'escape dei dati è un processo di sicurezza di base che rimuove tutti i dati sensibili dagli output generati da un plug-in.

WordPress ha anche una pagina per sviluppatori dedicata all'argomento, con esempi su come farlo e quando farlo.

La pagina degli sviluppatori di WordPress sugli output di escape spiega:

“L'escape dell'output è il processo di protezione dei dati di output rimuovendo i dati indesiderati, come HTML malformato o tag di script.

Questo processo aiuta a proteggere i tuoi dati prima di renderli per l'utente finale.

L'NVD descrive questa vulnerabilità:

"Il plug-in WordPress All-In-One Security (AIOS) precedente alla 5.1.5 non evade il contenuto dei file di registro prima di inviarlo alla pagina di amministrazione del plug-in, consentendo a un utente autorizzato (admin+) di inserire file di registro fasulli contenenti codice JavaScript dannoso che verrà eseguito nel contesto di qualsiasi amministratore che visiti questa pagina.

2. Vulnerabilità dell'attraversamento delle directory

La seconda vulnerabilità sembra essere una vulnerabilità Path Traversal.

Questa vulnerabilità consente a un utente malintenzionato di sfruttare un errore di sicurezza per accedere a file che normalmente non sarebbero accessibili.

L'Open Worldwide Application Security Project (OWASP) senza scopo di lucro avverte che un attacco riuscito potrebbe compromettere i file di sistema critici.

“Un attacco path traversal (noto anche come directory traversal) mira ad accedere a file e directory che sono archiviati al di fuori della cartella principale del web.

Manipolando variabili che fanno riferimento a file con sequenze 'punto-punto-barra (../)' e relative variazioni o utilizzando percorsi di file assoluti, potrebbe essere possibile accedere a file e directory arbitrari memorizzati nel file system, incluso il codice sorgente o la configurazione dell'applicazione e file di sistema critici.”

L'NVD descrive questa vulnerabilità:

“Il plug-in WordPress All-In-One Security (AIOS) precedente alla 5.1.5 non limita i file di registro da visualizzare nelle sue pagine delle impostazioni, consentendo a un utente autorizzato (admin+) di visualizzare il contenuto di file arbitrari e di elencare le directory ovunque nel server (a cui ha accesso il server web).

Il plug-in visualizza solo le ultime 50 righe del file.

Entrambe le vulnerabilità richiedono che un utente malintenzionato acquisisca credenziali a livello di amministratore per sfruttare l'attacco, il che potrebbe rendere più difficile l'attacco.

Tuttavia ci si aspetta che un plugin di sicurezza non abbia questo tipo di vulnerabilità prevenibili.

Prendi in considerazione l'aggiornamento del plug-in WordPress AIOS

AIOS ha rilasciato una patch nella versione 5.1.6 del plugin. Gli utenti potrebbero prendere in considerazione l'aggiornamento almeno alla versione 5.1.6 e possibilmente all'ultima versione, 5.1.7, che corregge un arresto anomalo che si verifica quando il firewall non è configurato.

Leggi i due bollettini sulla sicurezza NVD

CVE-2023-0157 Neutralizzazione impropria dell'input durante la generazione di pagine Web ("Cross-site Scripting")

CVE-2023-0156 Limitazione impropria di un percorso a una directory riservata ("Path Traversal")

Immagine in primo piano di Shutterstock/Kues

Le Critiche Crescenti Contro Google
Scoprire lo Sviluppo Web: La Programmazione come Arte
Scopri i Top Podcast SEO del 2024 e Mantieniti Aggiornato
Il ruolo delle finestre di dialogo nella progettazione di un'interfaccia utente web
Guida all'Integrazione di ChatGPT sul Tuo Sito Web
Utilizzo efficace di ChatGPT per la ricerca di parole chiave
Automatizzare le Campagne PPC con l'Intelligenza Artificiale Generativa
Aggiungere Coinvolgimento al tuo Sito con uno Sfondo Video CSS
Importanza delle Pagine di Destinazione per la Generazione di Lead e Incremento delle Vendite
Link Building

Link Building come parte della tua strategia di marketing può portare a risultati rivoluzionari. Seowebsite è specializzato nel Link Building e aiuta gli imprenditori a realizzare un forte profilo di link che contribuisce alla crescita online. Possiamo supportarvi anche in questo?