Plugin MailPoet fallato, ecco i dettagli

Plugin MailPoet fallato, ecco i dettagli

Tutti i siti che girano in wordpress versione hosted e che usano il pluguin MailPoet (un plugin per creare newsletter, con oltre 1.700.000 download), sono soggetti a possibili attacchi da parte di un intruso o utente malevolo che potrebbe disporre del controllo quasi completo sul server del sito vittima. Un aspetto che interessa quindi sia webmaster che (soprattutto) hosting condivisi, che dovrebbero controllare sui propri server la presenza di questo plugin globalmente, e verificare che sia stato aggiornato da tutti.

Secondo Sucuri ogni sito che possieda questa configurazione è potenzialmente vulnerabile, visto che un attaccante potrebbe caricare file arbitrari sul server. Non sono attualmente disponibili dettagli ulteriori sull’attacco, che comunque si basa sul fatto che qualsiasi chiamata a wp-admin/admin-post.php esegue un hook potenzialmente fallato e senza che sia richiesta l’autenticazione. Questa in sostanza dovrebbe essere l’handle utilizzato dagli attaccanti per sferrare questo ennesimo tentativo di violare la sicurezza di un sito WordPress. Dalla versione del plugin 2.6.7 la falla è stata risolta ed è opportuno, quindi, passare ad aggiornarla prima che si può, ammesso che utilizziate MailPoet ovviamente.

Ancora una volta si deve quindi ribadire l’importanza di installare per tempo gli aggiornamenti di WP, sia WP che soprattutto plugin e theme.


Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.