Plugin di WordPress fallati, attenzione ad Aviary Image Editor

Aggiornato il: 08-06-2018 13:10
Aviary Image Editor, un plugin aggiuntivo per i Gravity Forms – utile per integrare un editor di immagini (basato su Adobe Creative SDK) – è affetto da una falla informatica piuttosto grave che permette il caricamento arbitrario di qualsiasi file, anche con estensione .php, sul sito della vittima. Tutti i dettagli dell’attacco sono stati appena pubblicati su seclists, mentre non è nota attualmente alcuna patch ufficiale (se non quella di disabilitare globalmente, almeno per il momento, gli upload dei file via PHP: è possibile farlo impostando file_uploads al valore 0 dal PHP.ini). La soluzione appena descritta, comunque, è piuttosto drastica perchè impedirà  di caricare qualsiasi tipo di file, immagini e documenti include, via editor di WordPress e per qualsiasi ruolo, ma almeno si rimarrà  al sicuro da possibili invii di file arbitrari sul server.

Disattivare temporaneamente il plugin non sembra la soluzione ideale, visto che i file rimangono materialmente sul file system, per cui è molto meglio rimuoverlo del tutto dal proprio sito, in attesa di una versione aggiornata del plugin. Il plugin in questione è attualmente rimosso dal repository ufficiale, ma può darsi che torni online nei prossimi giorni.

(fonte: seclists)

Photo by Sean MacEntee



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.
Plugin di WordPress fallati, attenzione ad Aviary Image Editor
4850586965 83f1b6bab4 wp
Torna su