Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96


Pubblicato il: 05-04-2015 17:03 , Ultimo aggiornamento: 20-02-2020 22:59

Su seclists è stato pubblicato un bollettino di sicurezza che sconsiglia, di fatto, l’adozione del plugin per WordPress Simple Ads Manager: a quanto pare è vulnerabile ad un attacco informatico che permette ad un estraneo non loggato nel sito 1) di vedere informazioni sensibili (username ed email dei redattori/editori/amministratori del sito) 2) di effettuare SQL Injection (cioè eseguire query in lettura / scrittura di vario genere), classificato come CVE-2015-2824 3) di eseguire codice arbitrario ed upload di file eseguibili arbitrari sul server (XSS, classificato come CVE-2015-2825).

La falla è stata scoperta da Nguyen Hung Tuan & ITAS Team che hanno anche pubblicato un video dimostrativo della SQL injection, ed è considerata talmente grave da spingere wordpress.org a togliere di mezzo il plugin, come misura precauzionale, dal sito. Può darsi che, nel frattempo, il plugin venga ripubblicato in versione corretta: come riferimento si può considerare di non usare le versioni di Simple Ads Manager 2.5.94 e 2.5.96. Nel frattempo è meglio ripiegare su plugin alternativi ed evitare tassativamente di usare questo plugin nel proprio sito in WordPress.

Il tutto è coerente con le varie proof of concept fornite sul sito ufficiale e con le condizioni d’uso per gli sviluppatori di WordPress.org , che prevedono per la cronaca massima trasparenza nel codice, il divieto di raccogliere informazioni sull’utente e di offuscare il codice PHP. Attualmente, quindi, Simple Ads Manager non è raggiungibile e fornisce una pagina di errore 404: tutti i webmaster che utilizzano questo plugin sono caldamente consigliati a rimuoverlo, anche temporaneamente, in attesa di soluzioni valide ed utilizzando plugin alternativi per le pubblicità tipo Ad Injection.

SMSHosting Codice PROMO: PRT96919 Servizio di SMS Marketing - Per inviare SMS promozionali a basso costo Scopri il servizio

Photo by zodman

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96 di Salvatore Capolupo su Trovalost.it
Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96 (News)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919