Plugin di WordPress fallati, attenzione ad Aviary Image Editor


Pubblicato il: 11-06-2015 09:01 , Ultimo aggiornamento: 08-06-2018 13:10

Aviary Image Editor, un plugin aggiuntivo per i Gravity Forms – utile per integrare un editor di immagini (basato su Adobe Creative SDK) – è affetto da una falla informatica piuttosto grave che permette il caricamento arbitrario di qualsiasi file, anche con estensione .php, sul sito della vittima. Tutti i dettagli dell’attacco sono stati appena pubblicati su seclists, mentre non è nota attualmente alcuna patch ufficiale (se non quella di disabilitare globalmente, almeno per il momento, gli upload dei file via PHP: è possibile farlo impostando file_uploads al valore 0 dal PHP.ini). La soluzione appena descritta, comunque, è piuttosto drastica perchè impedirà di caricare qualsiasi tipo di file, immagini e documenti include, via editor di WordPress e per qualsiasi ruolo, ma almeno si rimarrà al sicuro da possibili invii di file arbitrari sul server.

Disattivare temporaneamente il plugin non sembra la soluzione ideale, visto che i file rimangono materialmente sul file system, per cui è molto meglio rimuoverlo del tutto dal proprio sito, in attesa di una versione aggiornata del plugin. Il plugin in questione è attualmente rimosso dal repository ufficiale, ma può darsi che torni online nei prossimi giorni.

(fonte: seclists)

Photo by Sean MacEntee

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Plugin di WordPress fallati, attenzione ad Aviary Image Editor di Salvatore Capolupo su Trovalost.it
Plugin di WordPress fallati, attenzione ad Aviary Image Editor (News)

Articoli più letti su questi argomenti:

Trovalost.it è gestito, mantenuto, ideato e (in gran parte) scritto da Salvatore Capolupo