Aggiornato il: 25-06-2018 11:30
Nuova vulnerabilità scoperta per un plugin wordpress: si tratta di Video Gallery WordPress Plugin (in vendita online a 15 dollari), un plugin a pagamento di CodeCanyon che permette di realizzare gallerie di video nel proprio blog. Il rischio introdotto sul sito è quello di Cross-Site Scripting, Full path disclosure ed esecuzione di comandi del sistema operativo direttamente dal browser dell’attaccante.
- Leggi anche: i migliori plugin per WordPress
La vulnerabilità è stata segnalata ma a quanto pare è stata ignorata dall’autore, almeno al momento in cui scrivo.
La falla nello specifico permetterebbe di accedere pubblicamente a:
/wp-content/plugins/dzs-videogallery/deploy/designer/preview.php?swfloc=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
wp-content/plugins/dzs-videogallery/videogallery.php
dando cosଠuna chance di attacco a qualsiasi utente non loggato. Gli utenti che usano wordpress versione gratuita su wordpress.com sono apparentemente non interessati alla cosa.
Fonte e maggior dettagli: seclists
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
