Aggiornato il: 08-05-2020 18:29
C’è un nuovo plugin fallato in WP e deve essere rimosso o aggiornato con urgenza: si tratta di uno adatto a rilevare il dispositivo del visitatore e fornire delle utility di supporto per telefoni iPhone, Windows ed Android.
La scoperta risale al 2 giugno di quest’anno ed interessa il plugin WP Mobile Detector, che è stato (al momento in cui scrivo) corretto solo in parte: a giorni dovrebbe essere disponibile l’update completo, nel frattempo è già indispensabile aggiornarlo. Il codice del plugin mancava tecnicamente di alcuni controlli di sicurezza, per cui tendeva ad accettare qualsiasi input anche da fonti non verificate e non loggate. Disabilitare il plugin non è utile, in questo caso, perchè tale operazione non cancella il file a rischio: le opzioni sono o rimuovere del tutto il plugin oppure provare ad aggiornare alla versione più recente.
Un modo possibile per attenuare gli effetti della falla, inoltre, consiste nell’inserire in un file htaccess ex novo nella cartella /wp-content/plugins/wp-mobile-detector/cache questa direttiva:
<Files *.php>deny from all</Files>
in modo da evitare di permettere l’esecuzione di file PHP arbitrari nella stessa.
La falla si manifestava con l’introduzione di pagine di spam pornografico nei siti infetti, ed è anche piuttosto facile da sfruttare: basta richiamare da remoto il file contenuto nel plugin resize.php oppure timthumb.php passandogli parametri malevoli.
(fonte).
