WordPress, scovata (e chiusa) una falla molto pericolosa nel plugin di backup

2 years ago 223

Milioni di siti WordPress hanno ricevuto negli scorsi giorni una patch obbligatoria per chiudere una falla di sicurezza molto pericolosa: risiedeva nel plugin chiamato UpdraftPlus, che permette agli utenti di creare e ripristinare backup dei siti interi. È emerso che sostanzialmente chiunque con un account poteva creare e scaricare il backup di un sito intero, database incluso, con una procedura piuttosto semplice e facile da seguire, secondo Marc Montpas, il ricercatore che l'ha scoperta.

Montpas dice che il bug è stato segnalato agli sviluppatori martedì, e il fix è arrivato il giorno dopo. Già entro giovedì la distribuzione aveva superato il 50%: più precisamente, 1,7 milioni di utenti su 3 milioni. Il problema principale è stato nell'implementazione di una funzione di WordPress, per cui il plugin non verificava se un utente aveva i privilegi amministrativi necessari. La vulnerabilità è stata classificata come molto grave.

La proprietaria di Wordpress e Tumblr ha comprato Pocket Casts

Android 16 Lug

La patch è stata distribuita in automatico lato server: gli utenti non dovrebbero aver bisogno di fare nulla. Nel dubbio è comunque meglio assicurarsi che la versione del plugin sia almeno la 1.22.4 o più recente per quanto riguarda la versione gratis, o 2.22.4 per la versione premium. A essere del tutto precisi, la versione che risolveva la falla era la 1.22.3 (o 2.22.3 in caso di utenti premium), ma includeva un non meglio specificato bug con un altro plugin di terze parti molto popolare; le versioni successive l'hanno risolto, almeno temporaneamente.

È la seconda volta nel giro di poche settimane che la piattaforma di blogging, uno dei CMS più diffusi al mondo e che fornisce l'infrastruttura per lo sviluppo di una porzione significativa dell'intera rete, finisce coinvolta in un problema di sicurezza. A fine novembre era stata una vittima indiretta: l'attacco hacker alla piattaforma di hosting GoDaddy aveva esposto i dati di 1,2 milioni di account.


Read Entire Article