Sicurezza WordPress: nuove falle nei plugin

Sicurezza wordpress: falle a Giugno 2024

Sono state identificate nuove falle di sicurezza che riguardano alcuni plugin di wordpress. Gia’ erano state identificate delle falle sui plugin infinite wp e wp time capsule. Ora emergono altre falle a carico di altri plugin:

• Themegrill demo importer – installato su oltre 200mila siti internet – in brve questa falla permette di entrare con il ruolo di amministratore anche ad utenti che non erano autorizzati a farlo. in particolare con la funzione reset_wizard-actions. in breve se un utente ha accesso come amministratore puo’ di fatto cancellare tutto il sito
• Profile builder – installato su oltre 50mila siti
• Strong testimonial fino alla versione 3.8 con vulnerabilita’ di tipo XSS – cross-site scripting di tipo persistent
• WordPress fruitful fino alla versione 1.6.2 con vulnerabilita’ di tipo XSS – cross-site scripting di tipo non persistent
• WordPress Prismatic versione 2.3 è vulnerabile ad XSS.
• WordPress Popup-Builder versione 3.61.1 è vulnerabile ad XSS.
• WordPress Ultimate-Member versione 2.1.3 è vulnerabile ad XSS.
• WordPress Jetpack versione 8.2 è vulnerabile ad XSS.
• WordPress Forminator versione 1.11.2 è vulnerabile ad XSS e Remote file upload.
• WordPress Events-Manager versione 5.9.7.3 è vulnerabile ad XSS.
• WordPress Default-Featured-Image versione 1.6.1 è vulnerabile ad XSS.
• WordPress Yikes Inc Easy Mailchimp Extender versione 6.6.2 è vulnerabile ad XSS.
• WordPress WPForms-Lite versione 1.5.8.2 è vulnerabile ad XSS.
• WordPress Wordfence versione 7.4.6 è vulnerabile ad XSS. noto plugin di sicurezza wordpress
• WordPress WooCommerce versione 3.9.2 è vulnerabile ad XSS.
• WordPress TinyMCE-Advanced versione 5.3.0 è vulnerabile ad XSS.
• WordPress Really-Simple-SSL versione 3.2.9 è vulnerabile ad XSS.

link di approfondimento:

• Sito internet sicuro