WP Mobile Detector deve essere aggiornato


Pubblicato il: 4 Giugno 2016 , Ultimo aggiornamento: 8 Maggio 2020

C’è un nuovo plugin fallato in WP e deve essere rimosso o aggiornato con urgenza: si tratta di uno adatto a rilevare il dispositivo del visitatore e fornire delle utility di supporto per telefoni iPhone, Windows ed Android.

La scoperta risale al 2 giugno di quest’anno ed interessa il plugin WP Mobile Detector, che è stato (al momento in cui scrivo) corretto solo in parte: a giorni dovrebbe essere disponibile l’update completo, nel frattempo è già indispensabile aggiornarlo. Il codice del plugin mancava tecnicamente di alcuni controlli di sicurezza, per cui tendeva ad accettare qualsiasi input anche da fonti non verificate e non loggate. Disabilitare il plugin non è utile, in questo caso, perchè tale operazione non cancella il file a rischio: le opzioni sono o rimuovere del tutto il plugin oppure provare ad aggiornare alla versione più recente.

Un modo possibile per attenuare gli effetti della falla, inoltre, consiste nell’inserire in un file htaccess ex novo nella cartella /wp-content/plugins/wp-mobile-detector/cache questa direttiva:

<Files *.php>deny from all</Files>

in modo da evitare di permettere l’esecuzione di file PHP arbitrari nella stessa.

La falla si manifestava con l’introduzione di pagine di spam pornografico nei siti infetti, ed è anche piuttosto facile da sfruttare: basta richiamare da remoto il file contenuto nel plugin resize.php oppure timthumb.php passandogli parametri malevoli.

(fonte).

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto WP Mobile Detector deve essere aggiornato di Salvatore Capolupo su Trovalost.it
WP Mobile Detector deve essere aggiornato (News)

Articoli più letti su questi argomenti: