Simple Ads Manager per WordPress fallato nelle versioni 2.5.94 e 2.5.96 • Trovalost.it

Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) .

Su seclists è stato pubblicato un bollettino di sicurezza che sconsiglia, di fatto, l’adozione del plugin per WordPress Simple Ads Manager: a quanto pare è vulnerabile ad un attacco informatico che permette ad un estraneo non loggato nel sito 1) di vedere informazioni sensibili (username ed email dei redattori/editori/amministratori del sito) 2) di effettuare SQL Injection (cioè eseguire query in lettura / scrittura di vario genere), classificato comeÂ CVE-2015-2824 3) di eseguire codice arbitrario ed upload di file eseguibili arbitrari sul server (XSS, classificato come CVE-2015-2825).

La falla è stata scoperta daÂ Nguyen Hung Tuan & ITAS Team che hanno anche pubblicato un video dimostrativo della SQL injection, ed è considerata talmente grave da spingere wordpress.org a togliere di mezzo il plugin, come misura precauzionale, dal sito. Può darsi che, nel frattempo, il plugin venga ripubblicato in versione corretta: come riferimento si può considerare di non usare le versioni di Simple Ads Manager 2.5.94 e 2.5.96. Nel frattempo è meglio ripiegare su plugin alternativi ed evitare tassativamente di usare questo plugin nel proprio sito in WordPress.

Il tutto è coerente con le varie proof of concept fornite sul sito ufficiale e con le condizioni d’uso per gli sviluppatori di WordPress.org , che prevedono per la cronaca massima trasparenza nel codice, il divieto di raccogliere informazioni sull’utente e di offuscare il codice PHP. Attualmente, quindi, Simple Ads Manager non è raggiungibile e fornisce una pagina di errore 404: tutti i webmaster che utilizzano questo plugin sono caldamente consigliati a rimuoverlo, anche temporaneamente, in attesa di soluzioni valide ed utilizzando plugin alternativi per le pubblicità tipo Ad Injection.

Photo by zodman

Vuoi imparare o approfondire le tematiche di sicurezza? Ecco le offerte di libri su Amazon !

Da non perdere 👇👇👇

🔒 Conosci meglio privacy e diritti digitali
👩‍💻 Impara a programmare in Python, C++, PHP
💻 Configura hosting e domini
📊 Tutto sui database
🛠️ Approfondisci le nuove tecnologie
🎮 Esplora la sezione retrogame
👀 Guarda i migliori servizi in offerta
🏁 Usa al meglio Excel
💬 Il nostro canale Telegram: iscriviti
🤯 Tivùsat: cos’è e come funziona
😬 Cosa vuol dire pipeline in informatica
😬 Il codice USSR **04* funziona?

Ti potrebbe interessare: L'Agenzia per la cybersicurezza sarà operativa in Italia dal 29 giugno

Trovalost esiste da 4323 giorni (12 anni), e contiene ad oggi 3635 articoli (circa 2.908.000 parole in tutto) e 13 servizi online gratuiti. – Leggi un altro articolo a caso

Vuoi cambiare hosting? Prova VHosting (clicca qui)

Segui il canale Youtube @Tecnocrazia23