Plugin MailPoet fallato, ecco i dettagli


Pubblicato il: 03-07-2014 12:17 , Ultimo aggiornamento: 08-05-2020 17:16

Tutti i siti che girano in wordpress versione hosted e che usano il pluguin MailPoet (un plugin per creare newsletter, con oltre 1.700.000 download), sono soggetti a possibili attacchi da parte di un intruso o utente malevolo che potrebbe disporre del controllo quasi completo sul server del sito vittima. Un aspetto che interessa quindi sia webmaster che (soprattutto) hosting condivisi, che dovrebbero controllare sui propri server la presenza di questo plugin globalmente, e verificare che sia stato aggiornato da tutti.

Secondo Sucuri ogni sito che possieda questa configurazione è potenzialmente vulnerabile, visto che un attaccante potrebbe caricare file arbitrari sul server. Non sono attualmente disponibili dettagli ulteriori sull’attacco, che comunque si basa sul fatto che qualsiasi chiamata a wp-admin/admin-post.php esegue un hook potenzialmente fallato e senza che sia richiesta l’autenticazione. Questa in sostanza dovrebbe essere l’handle utilizzato dagli attaccanti per sferrare questo ennesimo tentativo di violare la sicurezza di un sito WordPress. Dalla versione del plugin 2.6.7 la falla è stata risolta ed è opportuno, quindi, passare ad aggiornarla prima che si può, ammesso che utilizziate MailPoet ovviamente.

Ancora una volta si deve quindi ribadire l’importanza di installare per tempo gli aggiornamenti di WP, sia WP che soprattutto plugin e theme.

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Plugin MailPoet fallato, ecco i dettagli di Salvatore Capolupo su Trovalost.it
Plugin MailPoet fallato, ecco i dettagli (News)

Articoli più letti su questi argomenti:
Trovalost.it è gestito, mantenuto, ideato e (in gran parte) scritto da Salvatore Capolupo