Plugin di WordPress fallati, attenzione ad Aviary Image Editor

Plugin di WordPress fallati, attenzione ad Aviary Image Editor

Aviary Image Editor, un plugin aggiuntivo per i Gravity Forms – utile per integrare un editor di immagini (basato su Adobe Creative SDK) – è affetto da una falla informatica piuttosto grave che permette il caricamento arbitrario di qualsiasi file, anche con estensione .php, sul sito della vittima. Tutti i dettagli dell’attacco sono stati appena pubblicati su seclists, mentre non è nota attualmente alcuna patch ufficiale (se non quella di disabilitare globalmente, almeno per il momento, gli upload dei file via PHP: è possibile farlo impostando file_uploads al valore 0 dal PHP.ini). La soluzione appena descritta, comunque, è piuttosto drastica perchè impedirà di caricare qualsiasi tipo di file, immagini e documenti include, via editor di WordPress e per qualsiasi ruolo, ma almeno si rimarrà al sicuro da possibili invii di file arbitrari sul server.

Disattivare temporaneamente il plugin non sembra la soluzione ideale, visto che i file rimangono materialmente sul file system, per cui è molto meglio rimuoverlo del tutto dal proprio sito, in attesa di una versione aggiornata del plugin. Il plugin in questione è attualmente rimosso dal repository ufficiale, ma può darsi che torni online nei prossimi giorni.

(fonte: seclists)

Photo by Sean MacEntee

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.