Plugin di WordPress fallati: colpito WordPress Landing Pages Un plugin per la gestione di landing page presenta un problema di SQL injection

Tempo di lettura: <1 minuti

Chiunque abbia installato WordPress Landing Pages, il plugin gratuito per la gestione di landing page, dovrebbe evitare di utilizzare la versione 1.8.4: è infatti affetta da un problema di SQL injection e XSS, mentre la versione successiva (dalla 1.8.5 in poi) risolve il problema.

Poichè infatti il parametro GET dal nome:

post

è vulnerabile, ciò permette ad un attaccante di effettuare due diversi tipi di attacco, da un lato SQL injection dall’altro XSS, con notevoli rischi per il sito, la sua integrità e sicurezza.

La falla è stata classificata come:

CVE-2015-4064, CVE-2015-4065

e tutti quelli che utilizzano questo plugin nei propri siti web dovranno aggiornarlo alla versione più recente (fonte).

Nessun voto disponibile

Che te ne pare?

Pubblicato in News Ultimo aggiornamento: 8 Giugno 2018