Trovata grave vulnerabilità informatica su vari plugin di WordPress


Pubblicato il: 22-04-2015 10:58 , Ultimo aggiornamento: 08-06-2018 13:11

WordPress è affetto da una nuova falla informatica che potrebbe interessare una lista enorme di plugin.  La notizia dovrebbe essere divulgata più rapidamente possibile, ovviamente, ma è chiaro che va dimensionata e considerata nel modo opportuno: alla base di tutto vi è un problema sulla documentazione delle due funzioni add_query_arg() e remove_query_arg(). Esse sono molto utilizzate dagli sviluppatori per convertire query string in URL validi, ma il loro uso safe richiede solitamente tre parametri: la funzione obbliga ad inserirne soltanto due, nel qual caso viene automaticamente prelevato il valore di $_SERVER. È in questo caso, come viene chiarito nel forum di CodeCanyon, che si presenta un potenziale pericolo per theme e plugin.

Tra i plugin potenzialmente affetti, davvero molto numerosi, sucuri segnala (la lista potrebbe essere potenzialmente incompleta):

  • Jetpack
  • WordPress SEO Yoast
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • vari plugin della Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Nella speranza che la falla sia risolta in pochi giorni, è opportuno aggiornare subito sia il core di WordPress (arrivato ieri alla versione 4.1.2, che dovrebbe essersi aggiornata in automatico) che i vari plugin che si stanno utilizzando nel proprio sito.

Leggi anche: migliori plugin per il tuo WordPress

Photo by Sean MacEntee

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Trovata grave vulnerabilità informatica su vari plugin di WordPress di Salvatore Capolupo su Trovalost.it
Trovata grave vulnerabilità informatica su vari plugin di WordPress (News)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost