Aggiornato il: 20-02-2020 22:59
Il theme a pagamento per WordPress “WordPress Daily Edition Theme” nella versione 1.6.2, distribuito gratuitamente su woothemes.com/products/daily-edition, è affetto da una falla informatica che permette di effettuare attacchi informatici di SQL-injection.
La vulnerabilità in questione, secondo Seclists, sfrutta un errore nel file thumb.php relativamente al parametro src che viene passato direttamente nell’URL, e che può essere manipolare per inviare file arbitrari al server che ospita il sito, inclusi virus, malware e software malevolo in generale.
Sarebbe necessario aggiornare il theme all’ultima versione: tuttavia, almeno attualmente, non sembra essere possibile farlo. La versione 1.6.7 è addirittura del 2011, come si può vedere nell’attuale file di changelog (di cui segue una screenshot), e non sembra che ne siano uscite di più recenti (almeno al momento in cui scriviamo). Per un theme a pagamento, forse, è un po’ troppo: non è prudente installarlo o acquistarlo fino a nuove informazioni in merito.
Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene da me periodicamente revisionata / aggiornata, ove e quando necessario. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo articolo non contiene necessariamente suggerimenti, pareri o endorsement diretti da parte del proprietario del progetto. Per contatti clicca qui
