Gli esperti del Digital marketing

Potenzia il tuo business online con Monkey Digital SEO: sfrutta al massimo il potenziale del marketing strategico digitale.

La vulnerabilità del plugin AMP di WordPress colpisce oltre 100.000 siti

La vulnerabilità del plugin AMP di WordPress colpisce oltre 100.000 siti

Il plug-in WordPress per pagine mobili accelerate, con oltre 100.000 installazioni, ha corretto una vulnerabilità di media gravità che potrebbe consentire a un utente malintenzionato di iniettare script dannosi che verranno eseguiti dai visitatori del sito Web.

Scripting cross-site tramite shortcode

Il cross-site scripting (XSS) è uno dei tipi di vulnerabilità più frequenti. Nel contesto dei plugin WordPress, le vulnerabilità XSS si verificano quando un plugin ha un modo per inserire dati che non sono sufficientemente protetti da un processo che convalida o disinfetta gli input dell'utente.

La sanificazione è un modo per bloccare tipi di input indesiderati. Ad esempio, se un plug-in consente a un utente di aggiungere testo tramite un campo di input, dovrebbe anche ripulire qualsiasi altra cosa inserita in quel modulo che non gli appartiene, come uno script o un file zip.

Uno shortcode è una funzionalità di WordPress che consente agli utenti di inserire un tag simile a questo [example] all'interno di post e pagine. Gli shortcode incorporano funzionalità o contenuti forniti da un plug-in. Ciò consente agli utenti di configurare un plug-in tramite un pannello di amministrazione, quindi copiare e incollare uno shortcode in un post o in una pagina in cui desiderano che venga visualizzata la funzionalità del plug-in.

Una vulnerabilità "cross-site scripting tramite shortcode" è una falla di sicurezza che consente a un utente malintenzionato di inserire script dannosi in un sito Web sfruttando la funzione shortcode del plug-in.

Secondo un rapporto recentemente pubblicato dalla società di sicurezza Patchstack WordPress:

“Ciò potrebbe consentire a un attore malintenzionato di iniettare script dannosi, come reindirizzamenti, pubblicità e altri payload HTML nel tuo sito Web che verranno eseguiti quando gli ospiti visitano il tuo sito.

Questa vulnerabilità è stata risolta nella versione 1.0.89.”

Wordfence descrive la vulnerabilità:

"Il plug-in Accelerated Mobile Pages per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite gli shortcode del plug-in in tutte le versioni fino alla 1.0.88.1 inclusa a causa dell'insufficiente pulizia dell'input e dell'escape dell'output sugli attributi forniti dall'utente."

Wordfence chiarisce inoltre che si tratta di una vulnerabilità autenticata, il che per questo specifico exploit significa che un hacker ha bisogno di almeno un livello di autorizzazione di contributore per poter sfruttare la vulnerabilità.

Questo exploit è classificato da Patchstack come una vulnerabilità di livello di gravità medio, con un punteggio di 6,5 su una scala da 1 a 10 (dove dieci è il più grave).

Si consiglia agli utenti di controllare le proprie installazioni in modo che siano aggiornate almeno alla versione 1.0.89.

Le Critiche Crescenti Contro Google
Scoprire lo Sviluppo Web: La Programmazione come Arte
Scopri i Top Podcast SEO del 2024 e Mantieniti Aggiornato
Il ruolo delle finestre di dialogo nella progettazione di un'interfaccia utente web
Guida all'Integrazione di ChatGPT sul Tuo Sito Web
Utilizzo efficace di ChatGPT per la ricerca di parole chiave
Automatizzare le Campagne PPC con l'Intelligenza Artificiale Generativa
Aggiungere Coinvolgimento al tuo Sito con uno Sfondo Video CSS
Importanza delle Pagine di Destinazione per la Generazione di Lead e Incremento delle Vendite
Link Building

Link Building come parte della tua strategia di marketing può portare a risultati rivoluzionari. Seowebsite è specializzato nel Link Building e aiuta gli imprenditori a realizzare un forte profilo di link che contribuisce alla crescita online. Possiamo supportarvi anche in questo?