WordPress Daily Edition Theme v1.6.2: rischio upload di file arbitrari sul server Il theme in questione permette ad un attaccante di caricare arbitrariamente qualsiasi file sul server

<span class="entry-title-primary">WordPress Daily Edition Theme v1.6.2: rischio upload di file arbitrari sul server</span> <span class="entry-subtitle">Il theme in questione permette ad un attaccante di caricare arbitrariamente qualsiasi file sul server</span>

Il theme a pagamento per WordPress “WordPress Daily Edition Theme” nella versione 1.6.2, distribuito gratuitamente su woothemes.com/products/daily-edition, è affetto da una falla informatica che permette di effettuare attacchi informatici di SQL-injection.

La vulnerabilità in questione, secondo Seclists, sfrutta un errore nel file thumb.php relativamente al parametro src che viene passato direttamente nell’URL, e che può essere manipolare per inviare file arbitrari al server che ospita il sito, inclusi virus, malware e software malevolo in generale.

Sarebbe necessario aggiornare il theme all’ultima versione: tuttavia, almeno attualmente, non sembra essere possibile farlo. La versione 1.6.7 è addirittura del 2011, come si può vedere nell’attuale file di changelog (di cui segue una screenshot), e non sembra che ne siano uscite di più recenti (almeno al momento in cui scriviamo). Per un theme a pagamento, forse, è un po’ troppo: non è prudente installarlo o acquistarlo fino a nuove informazioni in merito.

Screen 2015-03-08 alle 18.28.41


Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

WordPress Daily Edition Theme v1.6.2: rischio upload di file arbitrari sul server

Il theme a pagamento per WordPress “WordPress Daily Edition Theme” …
Votato 8 / 10, campione di 1 utenti

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.