WordPress: migliaia di siti a rischio a causa di una falla critica in un plugin

Una vulnerabilità critica di Hunk Companion è stata utilizzata per sfruttare una pericolosissima falla di un altro plugin.

  Scienza e Tecnologia   Dec 14, 2024   0   28  Aggiungi elenco di lettura
WordPress: migliaia di siti a rischio a causa di una falla critica in un plugin

I ricercatori di WP Scan hanno scoperto una vulnerabilità critica nel plugin per WordPress Hunk Companion, un popolare strumento che incorpora tutto il necessario per creare un sito web completo. La patch per sistemare la falla, identificata con il codice CVE-2024-11972, è già disponibile, ma è stata scaricata da meno del 12% degli utenti. E questo significa che più di 8.000 siti web corrono grossi rischi.

La vulnerabilità si è guadagnata una valutazione di gravità di 9,8 punti su 10 in base al sistema CVE (Common Vulnerabilities and Exposures) e non è un caso. Permette infatti ai malfattori digitali di forzare l'installazione e l'attivazione sui siti bersaglio di plugin pericolosi come WP Query Console. Ed è quest'ultimo a rappresentare la vera minaccia, poiché consente l'esecuzione di codice dannoso senza bisogno di autenticazione.

Questa vulnerabilità rappresenta una minaccia significativa e multiforme, che prende di mira i siti che utilizzano sia un tema ThemeHunk che il plugin Hunk Companion. Con oltre 10.000 installazioni attive, ciò ha esposto migliaia di siti web ad attacchi anonimi e non autenticati in grado di comprometterne gravemente l'integrità - Daniel Rodriguez di WP Scan

WP Query Console, non più aggiornato da anni, nasconde la vulnerabilità CVE-2024-50498, tanto temibile da essersi guadagnata una valutazione di 10 punti su 10 sul sistema CVE. É proprio a causa di quest'ultima che il download del plugin è stato bloccato nel mese di ottobre. Tuttavia i malfattori hanno aggirato l'impedimento utilizzando uno speciale indirizzo alternativo di wordpress.org.

Per fortuna il pericoloso plugin è stato in seguito rimosso del tutto, ma resta il problema dei siti infettati in relazione ai quali i ricercatori di WP Scan consigliano, com'è ovvio che sia, di installare il più rapidamente la versione 1.9.0 di Hunk Companion che risulta effettivamente al sicuro dall'insidioso exploit.

Il TOP con rapporto prezzo/hardware inidiabile? Honor Magic 6 Pro, compralo al miglior prezzo da Smarterstore.it a 739 euro.

CLICCA QUI PER CONTINUARE A LEGGERE

Leggi di più   

Qual è la vostra reazione?

like

dislike

love

funny

angry

sad

wow