WP Mobile Detector deve essere aggiornato


C’è un nuovo plugin fallato in WP e deve essere rimosso o aggiornato con urgenza: si tratta di uno adatto a rilevare il dispositivo del visitatore e fornire delle utility di supporto per telefoni iPhone, Windows ed Android.

Annuncio:
Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) .

La scoperta risale al 2 giugno di quest’anno ed interessa il plugin WP Mobile Detector, che è stato (al momento in cui scrivo) corretto solo in parte: a giorni dovrebbe essere disponibile l’update completo, nel frattempo è già  indispensabile aggiornarlo. Il codice del plugin mancava tecnicamente di alcuni controlli di sicurezza, per cui tendeva ad accettare qualsiasi input anche da fonti non verificate e non loggate. Disabilitare il plugin non è utile, in questo caso, perchè tale operazione non cancella il file a rischio: le opzioni sono o rimuovere del tutto il plugin oppure provare ad aggiornare alla versione più recente.

Un modo possibile per attenuare gli effetti della falla, inoltre, consiste nell’inserire in un file htaccess ex novo nella cartella /wp-content/plugins/wp-mobile-detector/cache questa direttiva:

<Files *.php>deny from all</Files>

in modo da evitare di permettere l’esecuzione di file PHP arbitrari nella stessa.

La falla si manifestava con l’introduzione di pagine di spam pornografico nei siti infetti, ed è anche piuttosto facile da sfruttare: basta richiamare da remoto il file contenuto nel plugin resize.php oppure timthumb.php passandogli parametri malevoli.

(fonte).

👇 Da non perdere 👇



Questo portale web esiste da 4550 giorni (12 anni), e contiene ad oggi 4127 articoli (circa 3.301.600 parole in tutto) e 18 servizi online gratuiti. – Leggi un altro articolo a caso
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.