Riepilogo delle vulnerabilità di WordPress: maggio 2019

Le nuove vulnerabilità del plugin WordPress sono state divulgate questo mese, quindi vogliamo tenerti informato.
In questo post dividiamo le vulnerabilità relative a WordPress di questo mese in quattro diverse categorie:

  • 1. WordPress Core
  • 2. Plugin WordPress
  • 3. Temi di WordPress
  • 4. Violazioni da tutto il Web *

* Includiamo violazioni da tutto il Web in questo post, perché è importante conoscere anche le vulnerabilità al di fuori dell’ecosistema WordPress. Gli exploit al software server possono esporre dati sensibili. Le violazioni del database possono esporre le credenziali per gli utenti sul tuo sito web, aprendo la porta agli hacker per accedere al tuo sito

WordPress Core Vulnerabilities

Nessuna vulnerabilità di rilievo nel core di WordPress è stata divulgata nel maggio 2019.

Vulnerabilità dei plugins WordPress

  • 1. Blog Designer
    • Il plug-in di Blog Designer, versione 1.8.10 e inferiore, è vulnerabile a un attacco di cross-site scripting (XSS). Come riportato da WebARX, un utente non autenticato può inviare una richiesta di post per aggiornare le impostazioni del plugin.
    • La vulnerabilità è stata corretta e si dovrebbe aggiornare alla versione 1.8.11.
  • 2. All-in-One Event Calendar
    • All-in-One Event Calendar 2.5.38 e versioni successive è vulnerabile a un attacco di scripting cross-site. L’input dell’evento non è stato disinfettato, creando un exploit XSS.
    • La vulnerabilità è stata corretta e si dovrebbe aggiornare alla versione 2.5.39.
  • 3. W3 Total Cache
    • W3 Total Cache 0.9.7.3 del plugin e di seguito ha avuto tre diverse vulnerabilità divulgate questo mese.
      La prima vulnerabilità è un exploit SSRF che può essere sfruttato sfruttando un attacco RCE. La seconda vulnerabilità è un attacco di scripting cross-site. La terza vulnerabilità consente un bypass del controllo crittografico.
    • Le vulnerabilità sono state corrette e si dovrebbe aggiornare alla versione 0.9.7.4.
  • 4. Ninja Forms File Uploads Extension
    • Ninja Forms File Uploads Extension 3.0.22 è vulnerabile ad un exploit di caricamento di file arbitrario. Un sito dovrebbe avere Ninja Forms installato e avere l’estensione di caricamento file abilitata per consentire a qualcuno di sfruttare l’exploit. Onvio ha riferito che un utente malintenzionato può eseguire codice dannoso utilizzando l’exploit.
    • Le vulnerabilità sono state corrette e si dovrebbe aggiornare alla versione 3.0.23.
  • 5. Ultimate Member
    • La versione 2.0.45 di Ultimate Member e di seguito è vulnerabile a un exploit di lettura ed eliminazione di file arbitrari e a due diversi attacchi cross-scripting. Sucuri ha riferito che questo exploit molto serio potrebbe consentire a un utente malintenzionato di rilevare il tuo sito web.
    • Le vulnerabilità sono state corrette e si dovrebbe aggiornare alla versione 2.0.46.
  • 6. Custom Field Suite
      Custom Field Suite versione 2.5.14 e inferiore è vulnerabile a un attacco di script cross-site autenticato. Vale la pena ricordare che è necessario un utente con privilegi di amministratore o amministratore per accedere per sfruttare l’exploit.
  • Le vulnerabilità sono state corrette e si dovrebbe aggiornare alla versione 2.5.15.

Vulnerabilità dei temi WordPress

Nessuna vulnerabilità di rilievo nei temi di WordPress è stata divulgata nel maggio 2019.

Violazioni da tutto il Web

  • 1. Codice sorgente aziendale antivirus in vendita
    Un gruppo di hacker di nome Fxmsp dichiara di aver rubato 30 terabyte di dati dalle aziende antivirus americane. Per saperne di più: hacker che vendono accesso e codice sorgente da società antivirus(Articolo in inglese).
    Questa è una storia interessante perché mostra che anche le compagnie di antivirus sono vulnerabili agli attacchi. Senza contare che nomi familiari come McAfee e Norton potrebbero essere le vittime.
  • 2. Vulnerabilità legata all’immagine Docker di Linux Alpine
  • Le versioni delle immagini Alpine Linux Docker contenevano una password NULL per l’utente root. Ciò significa che qualcuno potrebbe lasciare il login usando la radice semplicemente lasciando la password vuota. Docker è fantastico, ma è importante ricordare che un creatore di immagini potrebbe non seguire le migliori pratiche di sicurezza.
  • 3. WhatsApp
    WhatsApp di proprietà di Facebook aveva una vulnerabilità che permetteva agli hacker di installare spyware sul tuo telefono. Un utente malintenzionato doveva solo chiamarti, senza bisogno di rispondere, per installare il software di sorveglianza sul tuo iPhone o dispositivo Android. Ciò che rende l’exploit più sgradevole è che potrebbero rimuovere la chiamata dal log, rimuovendo ogni traccia dell’attacco.
    Se sei un utente di WhatsApp, assicurati di utilizzare l’ultima versione dell’app.
  • 4. OKC Public Schools
    Sfortunatamente, le scuole non sono off-limits dei malvagi online. Le scuole pubbliche di Oklahoma City hanno dovuto chiudere la loro rete a causa di Ransomware. A partire da ora, OKCPS non ha rivelato quali informazioni sono state compromesse. 

    Conclusioni

    Concludiamo ricordandoti che il software obsoleto è il numero uno dei motivi per cui i siti vengono violati. Ogni vulnerabilità che è stata rivelata finora questo mese è stata riparata. Lasciare software obsoleto sul tuo sito ti lascerà vulnerabile agli attacchi.

    Fonte: ithemes.com
    Traduzione: NOVA SYSTEMI