Su seclists è stato pubblicato un bollettino di sicurezza che sconsiglia, di fatto, l’adozione del plugin per WordPress Simple Ads Manager: a quanto pare è vulnerabile ad un attacco informatico che permette ad un estraneo non loggato nel sito 1) di vedere informazioni sensibili (username ed email dei redattori/editori/amministratori del sito) 2) di effettuare SQL Injection (cioè eseguire query in lettura / scrittura di vario genere), classificato come CVE-2015-2824 3) di eseguire codice arbitrario ed upload di file eseguibili arbitrari sul server (XSS, classificato come CVE-2015-2825).
La falla è stata scoperta da Nguyen Hung Tuan & ITAS Team che hanno anche pubblicato un video dimostrativo della SQL injection, ed è considerata talmente grave da spingere wordpress.org a togliere di mezzo il plugin, come misura precauzionale, dal sito. Può darsi che, nel frattempo, il plugin venga ripubblicato in versione corretta: come riferimento si può considerare di non usare le versioni di Simple Ads Manager 2.5.94 e 2.5.96. Nel frattempo è meglio ripiegare su plugin alternativi ed evitare tassativamente di usare questo plugin nel proprio sito in WordPress.
Il tutto è coerente con le varie proof of concept fornite sul sito ufficiale e con le condizioni d’uso per gli sviluppatori di WordPress.org , che prevedono per la cronaca massima trasparenza nel codice, il divieto di raccogliere informazioni sull’utente e di offuscare il codice PHP. Attualmente, quindi, Simple Ads Manager non è raggiungibile e fornisce una pagina di errore 404: tutti i webmaster che utilizzano questo plugin sono caldamente consigliati a rimuoverlo, anche temporaneamente, in attesa di soluzioni valide ed utilizzando plugin alternativi per le pubblicità tipo Ad Injection.
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟠 Domini .AE: come e dove registrarne uno
- 🟢 Come eliminare le foto doppie di WhatsApp (iPhone)
- 🔵 Domini .CLUB: come e dove registrarne uno