Vulnerabilità di WordPress: Aggiornamento del Mese di Febbraio

Sei proprietario di un sito WordPress? Sapevi che il 98% delle vulnerabilità di WordPress è legato ai plugin o a temi obsoleti?

Di seguito riportiamo la panoramica segnalata da WebArx di alcuni dei Plugin vulnerabili noti nel mese di Febbraio.

Vulnerabilità di WordPress: Aggiornamento del Mese di Febbraio

Testimonial 

  • Vulnerabilità: Cross-site scripting (XSS) archiviato autenticato, che consente a un utente con privilegi limitati di inserire parti di codice javascript nell'immagine della galleria dei plugin che viene visualizzata da altri utenti.
  • Numero di siti interessati: 10.000+

Booked 

  • Vulnerabilità: Autenticazione non funzionante di esportazione dei risultati degli utenti e i dettagli dei loro appuntamenti in CSV come utente non autenticato.
  • Numero di siti interessati: 10.000+

Duplicator 

  • Vulnerabilità: Download di file non autenticato, che consente agli aggressori di accedere alle credenziali del database di un sito e rubare dati sensibili.
  • Numero di siti interessati: N / D

10Web Map Builder

  • Vulnerabilità: XSS memorizzato tramite modifica delle impostazioni del plugin. La vulnerabilità si presenta nel processo di installazione del plugin. Se un utente malintenzionato inserisce JavaScript dannoso in determinati valori delle impostazioni, tale codice verrà eseguito per gli amministratori nella loro dashboard e per i visitatori front-of-site.
  • Numero di siti interessati: 20.000+

Modern Events Calendar Lite

  • Vulnerabilità: XSS memorizzato tramite modifica delle impostazioni del plugin.
  • Numero di siti interessati: 40.000+

Async Javascript

  • Vulnerabilità: XSS memorizzato tramite modifica delle impostazioni del plugin, che permette agli utenti con privilegi limitati, inclusi gli abbonati, di modificare le impostazioni del plugin.
  • Numero di siti interessati: 100.000+

CardGate

  • Vulnerabilità: Deviazione di pagamenti non autorizzati e spoofing dello stato dell'ordine, che consente a un utente malintenzionato di sostituire in remoto le impostazioni del plugin critico per ignorare il processo di pagamento e/o ricevere tutti i pagamenti successivi.
  • Numero di siti interessati: 500+

Hero Maps Premium

  • Vulnerabilità: Cross-site scripting (XSS) riflesso non autenticato
  • Numero di siti interessati: N / D

Export Users

  • Vulnerabilità: CSV injection, che può consentire ad un utente malintenzionato di registrarsi come abbonato e fornire payload dannosi nel campo dei dettagli dell'account utente.
  • Numero di siti interessati: 4.000+

Flexible Checkout Fields 

  • Vulnerabilità: Aggiornamento delle impostazioni non autenticate, che consente di iniettare script dannoso nelle pagine di checkout di WooCommerce.
  • Numero di siti interessati: 20.000+

Supsystic 

  • Vulnerabilità: Autorizzazioni non sicure per le azioni AJAX che permettono agli utenti non autenticati di recuperare informazioni sulla tabella dei prezzi, creare nuove tabelle o importare/modificare una tabella. Inoltre sono state riscontrate problematiche di Cross-site request forgery to XSS che possono essere sfruttate contro una qualsiasi delle funzionalità nella tabella dei prezzi dal plugin Supsystic WordPress. 
  • Numero di siti interessati: 40.000+

Envira Photo Gallery

  • Vulnerabilità: Cross-site scripting (XSS) archiviato autenticato, che consentirebbe ad un utente con privilegi limitati di inserire parti di codice javascript nell'immagine della galleria dei plugin che viene visualizzata da altri utenti.
  • Numero di siti interessati: 100.000+

Photo Gallery

  • Vulnerabilità: Cross-site scripting (XSS) 
  • Numero di siti interessati: 300.000+

Ultimate Membership Pro

  • Vulnerabilità: Diversi problemi CSRF tramite chiamate AJAX e di entropia del nome file insufficiente, che possono causare la divulgazione di informazioni personali e il bypass alla login.
  • Numero di siti interessati: 18.000+

Registration Magic 

  • Vulnerabilità: Multiple cross-site scripting (XSS), che possono causare attacchi contro gli admin che visualizzano gli invii del modulo di contatto.
  • Numero di siti interessati: 10.000+

Ninja Forms

  • Vulnerabilità: CSRF to cross-site scripting (XSS)
  • Numero di siti interessati: 1+ milioni

Chained Quiz 

  • Vulnerabilità: XSS memorizzato autenticato.
  • Numero di siti interessati: 1.000+

ThemeREX Addons

  • Vulnerabilità: Esecuzione di codice in modalità remota, che consente agli aggressori di eseguire in remoto il codice sul sito con il plugin installato, inclusa la possibilità di eseguire un codice in grado di generare account amministrativi.
  • Numero di siti interessati: 44.000+

Modula Image Gallery

  • Vulnerabilità: Authenticated stored cross-site scripting, che consente a un utente con privilegi limitati di inserire parti di codice JavaScript nell'immagine della galleria del plugin visualizzata da altri utenti.
  • Numero di siti interessati: 70.000+

Easy Property Listings

  • Vulnerabilità: Cross-site request forgery (CSRF).
  • Number of sites affected: 6.000+

ThemeGrill Demo Importer

  • Vulnerabilità: Bypass automatico e cancellazione del database, che consente a un utente non autenticato di cancellare l'intero database allo stato predefinito e di seguito essere registrato come amministratore.
  • Numero di siti interessati: 200.000+

wpCentral

  • Vulnerabilità: Controllo di accesso improprio per l'escalation dei privilegi, problematica che  ha permesso a chiunque di inoltrare i propri privilegi a quelli di un amministratore, purché la registrazione a livello di abbonato fosse abilitata su un determinato sito WordPress con il plugin vulnerabile installato.
  • Numero di siti interessati: 60.000+

Popup Builder

  • Vulnerabilità: SQL injection via PHP deserialization, consente la creazione di un account amministratore WordPress e quindi a possibili esecuzioni di codice remoto.
  • Numero di siti interessati: 100.000+

SAML SP Single Sign On

  • Vulnerabilità: Cross-site scripting (XSS)
  • Numero di siti interessati: 4.000+

Contact Form Clean and Simple

  • Vulnerabilità: Authenticated stored XSS, che consente di attaccare gli amministratori di un sito con codice dannoso, che potrebbe essere eseguito su ogni pagina con il modulo di contatto da front-end.
  • Numero di siti interessati: 20.000+

GDPR Cookie Consent

  • Vulnerabilità: Controlli di accesso non corretti nella chiamata AJAX che potrebbero consentire a un utente autenticato con privilegi bassi (come un abbonato) di cambiare lo stato di qualsiasi post/pagina da pubblicato a bozza, di rimuoverli dal pannello e di inserire un payload nel contenuto di uno di essi, portando a problemi di Stored Cross-Site Scripting.
  • Numero di siti interessati: 700.000+

Participants Database

  • Vulnerabilità: Authenticated time-based SQL injection.
  • Numero di siti interessati: 10.000+

Profile Builder and Profile Builder Pro 

  • Vulnerabilità: Autenticazione non autorizzata, che consente agli utenti non autenticati di registrare o modificare il proprio account e ottenere il ruolo di amministratore utilizzando i moduli del plugin.
  • Numero di siti interessati: 4.000+

Events Manager & Events Manager PRO

  • Vulnerabilità: CSV injection
  • Numero di siti interessati: 100.000+

BestWebSoft

  • Vulnerabilità: CSRF to edit .htaccess
  • Numero di siti interessati: 2.000+

Auth0

  • Vulnerabilità: XSS riflesso non autenticato tramite parametro wle. Tale problematica potrebbe consentire a un utente malintenzionato di eseguire attacchi di cross-site scripting (XSS) nella pagina di accesso.
  • Numero di siti interessati: 4.000+

Tutor LMS

  • Vulnerabilità: Cross-site request forgery
  • Numero di siti interessati: 4.000+

Portfolio Filter Gallery

  • Vulnerabilità: CSRF & reflected XSS. La mancanza di controlli CSRF nella pagina Filtri potrebbe consentire di aggiungere, modificare, aggiornare ed eliminare categorie, nonché eseguire attacchi XSS riflessi.
  • Numero di siti interessati: 10.000+

Strong Testimonials

  • Vulnerabilità: Stored cross-site scripting (XSS), vulnerabilità sfruttata per eseguire azioni dannose come il furto dei cookie di sessione dell’utente o le credenziali di accesso, l'esecuzione di azioni arbitrarie per conto dell’utente, la registrazione dei tasti e altro ancora.
  • Numero di siti interessati: 90.000+

Vulnerabilità e violazione dei dati: proteggi il tuo sito con il protocollo HTTPS

Hai pubblicato il tuo sito web? Fai attenzione ai numerosi attacchi hacker che possono compromettere la sicurezza dei dati e dell’immagine della tua azienda, come dimostrato dalle numerose vulnerabilità riportate.
Molto spesso lo scopo principale di un attacco è quello di estorcere dati sensibili e danneggiare l’immagine del sito web.

In questo senso, uno dei fattori principali per procedere alla messa in sicurezza del tuo sito web è il protocollo HTTPS (HTTP over Secure Socket Layer), che gioca un ruolo chiave nella criptazione e protezione dei dati così da creare una connessione sicura e rendere più affidabile il sito web.

Se hai ancora il certificato HTTP e sei interessato a cambiare, non esitare a contattarci. Siamo in grado di seguirti in ogni fase di questo delicato passaggio e di valutare soluzioni più sicure per il tuo sito web.

Per ulteriori informazioni, non esitare a contattarci.

Vulnerabilità WordPress: Aggiornamento del mese di Marzo
Vulnerabilità WordPress: Aggiornamento del mese di Gennaio

Pronto a trasformare la tua presenza online?