Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96


Pubblicato il: 05-04-2015 17:03 , Ultimo aggiornamento: 20-02-2020 22:59

Su seclists è stato pubblicato un bollettino di sicurezza che sconsiglia, di fatto, l’adozione del plugin per WordPress Simple Ads Manager: a quanto pare è vulnerabile ad un attacco informatico che permette ad un estraneo non loggato nel sito 1) di vedere informazioni sensibili (username ed email dei redattori/editori/amministratori del sito) 2) di effettuare SQL Injection (cioè eseguire query in lettura / scrittura di vario genere), classificato come CVE-2015-2824 3) di eseguire codice arbitrario ed upload di file eseguibili arbitrari sul server (XSS, classificato come CVE-2015-2825).

La falla è stata scoperta da Nguyen Hung Tuan & ITAS Team che hanno anche pubblicato un video dimostrativo della SQL injection, ed è considerata talmente grave da spingere wordpress.org a togliere di mezzo il plugin, come misura precauzionale, dal sito. Può darsi che, nel frattempo, il plugin venga ripubblicato in versione corretta: come riferimento si può considerare di non usare le versioni di Simple Ads Manager 2.5.94 e 2.5.96. Nel frattempo è meglio ripiegare su plugin alternativi ed evitare tassativamente di usare questo plugin nel proprio sito in WordPress.

Il tutto è coerente con le varie proof of concept fornite sul sito ufficiale e con le condizioni d’uso per gli sviluppatori di WordPress.org , che prevedono per la cronaca massima trasparenza nel codice, il divieto di raccogliere informazioni sull’utente e di offuscare il codice PHP. Attualmente, quindi, Simple Ads Manager non è raggiungibile e fornisce una pagina di errore 404: tutti i webmaster che utilizzano questo plugin sono caldamente consigliati a rimuoverlo, anche temporaneamente, in attesa di soluzioni valide ed utilizzando plugin alternativi per le pubblicità tipo Ad Injection.

Photo by zodman

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96 di Salvatore Capolupo su Trovalost.it
Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96 (News)

Articoli più letti su questi argomenti:
Trovalost.it è gestito, mantenuto, ideato e (in gran parte) scritto da Salvatore Capolupo