Pericoloso bug ad un plugin WordPress: patch per milioni di siti

Pericoloso bug ad un plugin WordPress: patch per milioni di siti
Vincenzo Ronca
Vincenzo Ronca

La fine della scorsa settimana si è rivelata abbastanza critica per WordPress e per i milioni di utenti che si affidano alla piattaforma per gestire e pubblicare i propri contenuti web. Una pericolosa vulnerabilità di sicurezza è stata scoperta.

Nello specifico, la vulnerabilità affliggeva un plugin di WordPress chiamato UpdraftPlus, utile al backup e al ripristino dei siti web. Tale plugin infatti permetteva agli utenti senza privilegi di amministrazione di scaricare l'intero database associato al sito web, accedendo così alla mole di dati personali raccolti dal sito in questione.

Il bug permetteva anche di modificare in modo relativamente semplice ma non autorizzato i privilegi di amministrazione per specifici utenti. Degli ipotetici malintenzionati avrebbero potuto sfruttare la vulnerabilità per introdursi nel sito e scaricare il database associato.

La vulnerabilità di sicurezza al plugin UpdraftPlus è stata scovata da Marc Montpas, un ricercatore in sicurezza informatica di Jetpack, ed è stata segnalata giovedì scorso. WordPress ha richiesto una patch obbligatoria per tutti i siti: alla sera di govedì scorso erano 1,7 milioni i siti sui quali era installata, i quali sono arrivati a 3 milioni nella giornata successiva.

Per maggiori dettagli tecnici sulla vulnerabilità scovata e corretta per WordPress vi suggeriamo di far riferimento al blog Jetpack.

Via: Engadget
Fonte: Ars Technica
Mostra i commenti