Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96

Aggiornato il: 20-02-2020 22:59
Su seclists è stato pubblicato un bollettino di sicurezza che sconsiglia, di fatto, l’adozione del plugin per WordPress Simple Ads Manager: a quanto pare è vulnerabile ad un attacco informatico che permette ad un estraneo non loggato nel sito 1) di vedere informazioni sensibili (username ed email dei redattori/editori/amministratori del sito) 2) di effettuare SQL Injection (cioè eseguire query in lettura / scrittura di vario genere), classificato come CVE-2015-2824 3) di eseguire codice arbitrario ed upload di file eseguibili arbitrari sul server (XSS, classificato come CVE-2015-2825).

La falla è stata scoperta da Nguyen Hung Tuan & ITAS Team che hanno anche pubblicato un video dimostrativo della SQL injection, ed è considerata talmente grave da spingere wordpress.org a togliere di mezzo il plugin, come misura precauzionale, dal sito. Può darsi che, nel frattempo, il plugin venga ripubblicato in versione corretta: come riferimento si può considerare di non usare le versioni di Simple Ads Manager 2.5.94 e 2.5.96. Nel frattempo è meglio ripiegare su plugin alternativi ed evitare tassativamente di usare questo plugin nel proprio sito in WordPress.

Il tutto è coerente con le varie proof of concept fornite sul sito ufficiale e con le condizioni d’uso per gli sviluppatori di WordPress.org , che prevedono per la cronaca massima trasparenza nel codice, il divieto di raccogliere informazioni sull’utente e di offuscare il codice PHP. Attualmente, quindi, Simple Ads Manager non è raggiungibile e fornisce una pagina di errore 404: tutti i webmaster che utilizzano questo plugin sono caldamente consigliati a rimuoverlo, anche temporaneamente, in attesa di soluzioni valide ed utilizzando plugin alternativi per le pubblicità  tipo Ad Injection.

Ti potrebbe interessare:  ShellShock, come patchare Linux e Mac per proteggersi

Photo by zodman



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96
1596388320 75203c39c3 hacker
Torna su