Aviary Image Editor, un plugin aggiuntivo per i Gravity Forms – utile per integrare un editor di immagini (basato su Adobe Creative SDK) – è affetto da una falla informatica piuttosto grave che permette il caricamento arbitrario di qualsiasi file, anche con estensione .php, sul sito della vittima. Tutti i dettagli dell’attacco sono stati appena pubblicati su seclists, mentre non è nota attualmente alcuna patch ufficiale (se non quella di disabilitare globalmente, almeno per il momento, gli upload dei file via PHP: è possibile farlo impostando file_uploads al valore 0 dal PHP.ini). La soluzione appena descritta, comunque, è piuttosto drastica perchè impedirà di caricare qualsiasi tipo di file, immagini e documenti include, via editor di WordPress e per qualsiasi ruolo, ma almeno si rimarrà al sicuro da possibili invii di file arbitrari sul server.
Disattivare temporaneamente il plugin non sembra la soluzione ideale, visto che i file rimangono materialmente sul file system, per cui è molto meglio rimuoverlo del tutto dal proprio sito, in attesa di una versione aggiornata del plugin. Il plugin in questione è attualmente rimosso dal repository ufficiale, ma può darsi che torni online nei prossimi giorni.
(fonte: seclists)
👇 Da non perdere 👇
- Informatica 🖥
- Internet 💻
- Mondo Apple 🍎
- monitoraggio servizi online 📈
- Scrivere 🖋
- Sicurezza & Privacy 👁
- 💬 Il nostro canale Telegram: iscriviti
- 🟡 Come testare codice PHP online senza installare nulla
- 🔵 Come registrare una telefonata
- 🟢 Le VPN rispettano la tua privacy? Cos’è la no logs policy