Grave Vulnerabilità del Plugin WPML di WordPress: Oltre 1 Milione di Siti a Rischio di Attacco

Una grave vulnerabilità è stata scoperta nel plugin WPML per WordPress, mettendo a rischio oltre 1 milione di siti web. Questo problema di sicurezza consente a un attaccante autenticato di eseguire codice da remoto, con il potenziale di prendere il controllo completo del sito. La vulnerabilità è stata valutata con un punteggio di 9,9 su 10 dall’organizzazione Common Vulnerabilities and Exposures (CVE), classificandola come critica.

Dettagli della Vulnerabilità del Plugin WPML

La vulnerabilità del plugin è dovuta alla mancanza di un controllo di sicurezza chiamato sanitizzazione, un processo per filtrare i dati inseriti dall’utente per evitare il caricamento di file dannosi. L’assenza di sanitizzazione rende il plugin suscettibile a Remote Code Execution.

Il problema si trova all’interno di una funzione di uno shortcode per la creazione di un language switcher personalizzato. Questa funzione elabora il contenuto dello shortcode all’interno di un template del plugin senza sanitizzare i dati, esponendo il sistema a possibili iniezioni di codice.

La vulnerabilità interessa tutte le versioni del plugin WPML fino alla versione 4.6.12 inclusa.

Cronologia della Vulnerabilità

Il problema è stato scoperto da Wordfence a fine giugno, che ha prontamente notificato i responsabili di WPML. Tuttavia, i publisher del plugin sono rimasti senza rispondere per circa un mese e mezzo, confermando la ricezione solo il 1 agosto 2024.

Gli utenti della versione a pagamento di Wordfence hanno ricevuto protezione otto giorni dopo la scoperta della vulnerabilità, mentre gli utenti della versione gratuita hanno ricevuto protezione il 27 luglio. Gli utenti del plugin WPML senza protezione Wordfence hanno ricevuto una patch solo il 20 agosto, con il rilascio della versione 4.6.13.

Aggiornamento del Plugin Consigliato

Wordfence esorta tutti gli utenti del plugin WPML a verificare di utilizzare l’ultima versione disponibile, la WPML 4.6.13.

In una nota, Wordfence ha scritto:

“Invitiamo gli utenti ad aggiornare i loro siti all’ultima versione corretta di WPML, la versione 4.6.13 al momento della scrittura, il prima possibile.”

Per ulteriori informazioni sulla vulnerabilità, visita il sito di Wordfence.

Articoli

Elle WebAgency di Alemanno Luca. P.IVA IT16049591007. Via Isonzo 30, Capoterra ( Cagliari ) 09012

Pagine Utili

FAQ's

Contatti

Copyrights  © 2024 Created by Elle WebAgency