WP Mobile Detector deve essere aggiornato

e831b00a2ef3093ecd0b470de7444e90fe76e6d31cb1144095f2c0 640 wordpress

C’è un nuovo plugin fallato in WP e deve essere rimosso o aggiornato con urgenza: si tratta di uno adatto a rilevare il dispositivo del visitatore e fornire delle utility di supporto per telefoni iPhone, Windows ed Android.

La scoperta risale al 2 giugno di quest’anno ed interessa il plugin WP Mobile Detector, che è stato (al momento in cui scrivo) corretto solo in parte: a giorni dovrebbe essere disponibile l’update completo, nel frattempo è già  indispensabile aggiornarlo. Il codice del plugin mancava tecnicamente di alcuni controlli di sicurezza, per cui tendeva ad accettare qualsiasi input anche da fonti non verificate e non loggate. Disabilitare il plugin non è utile, in questo caso, perchè tale operazione non cancella il file a rischio: le opzioni sono o rimuovere del tutto il plugin oppure provare ad aggiornare alla versione più recente.

Un modo possibile per attenuare gli effetti della falla, inoltre, consiste nell’inserire in un file htaccess ex novo nella cartella /wp-content/plugins/wp-mobile-detector/cache questa direttiva:

<Files *.php>deny from all</Files>

in modo da evitare di permettere l’esecuzione di file PHP arbitrari nella stessa.

La falla si manifestava con l’introduzione di pagine di spam pornografico nei siti infetti, ed è anche piuttosto facile da sfruttare: basta richiamare da remoto il file contenuto nel plugin resize.php oppure timthumb.php passandogli parametri malevoli.

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919

(fonte).



Questo blog pubblica contenuti ed offre servizi free da 10 anni. Per informazioni contattaci
WP Mobile Detector deve essere aggiornato
Torna su