Blog

La vulnerabilità di WordPress di WP Bakery colpisce milioni di siti

I ricercatori hanno scoperto una vulnerabilità nel page builder di WP Bakery che consente a un hacker di iniettare JavaScript dannoso in pagine e post. La vulnerabilità consente a un utente malintenzionato di iniettare codice in pagine e post che poi attacca i browser dei visitatori del sito.

Vulnerabilità XSS (Stored Cross-Site Scripting) autenticato

Le vulnerabilità di cross-site scripting sono caratterizzate dal fatto che un utente malintenzionato acquisisce la capacità di prendere di mira i browser dei visitatori tramite l’uso di script dannosi che sono stati posizionati di nascosto su un sito Web.

Gli attacchi XSS sono tra i tipi di vulnerabilità più diffusi.

Questo attacco specifico è chiamato vulnerabilità di scripting cross-site archiviato autenticato. Una vulnerabilità XSS memorizzata è quella in cui uno script viene inserito nel sito Web stesso da un utente malintenzionato.

Ma questa è una vulnerabilità XSS archiviata autenticata, il che significa che l’attaccante deve disporre delle credenziali del sito Web per eseguire l’attacco.

Ciò lo rende un rischio meno critico perché richiede a un utente malintenzionato di eseguire il passaggio aggiuntivo dell’acquisizione delle credenziali.

Vulnerabilità XSS archiviata autenticata da WP Bakery

Questa specifica vulnerabilità di WP Bakery richiede che l’autore dell’attacco ottenga credenziali di pubblicazione a livello di collaboratore o autore su un sito Web.

Una volta che un utente malintenzionato ha le credenziali, è in grado di iniettare script su qualsiasi post o pagina. Offre inoltre all’autore dell’attacco la possibilità di modificare i post creati da altri utenti.

Questa vulnerabilità era composta da più difetti.

I difetti hanno permesso l’iniezione di HTML e JavaScript in post o pagine di utenti con credenziali e anche in quelli di altri autori. C’era anche un altro difetto specifico che prendeva di mira i pulsanti a cui era collegata una funzionalità JavaScript.

Secondo WordFence:

“Il plugin aveva anche funzionalità onclick personalizzate per i pulsanti. Ciò ha permesso a un utente malintenzionato di iniettare JavaScript dannoso in un pulsante che sarebbe stato eseguito con un clic del pulsante. Inoltre, gli utenti a livello di contributore e autore sono stati in grado di utilizzare vc_raw_js, vc_raw_html e il pulsante utilizzando gli shortcode custom_onclick per aggiungere JavaScript dannoso ai post.

WP Bakery Page Builder 6.4 e versioni precedenti sono interessati

La vulnerabilità è stata scoperta alla fine di luglio 2020. WP Bakery ha rilasciato una patch alla fine di agosto, ma rimanevano ancora altri problemi, inclusa una seconda patch rilasciata all’inizio di settembre.

La patch finale che ha chiuso la vulnerabilità è stata rilasciata il 24 settembre 2020.

Gli sviluppatori di software plug-in pubblicano un log delle modifiche. Il contenuto del registro delle modifiche è ciò che viene visualizzato nell’area dei plug-in di amministrazione di WordPress che comunica di cosa tratta un aggiornamento.

Sfortunatamente, il log delle modifiche di WP Bakery non riflette l’urgenza dell’aggiornamento perché non dice esplicitamente che sta correggendo una vulnerabilità. Il log delle modifiche si riferisce alle patch di vulnerabilità come miglioramenti.

Il plugin WP Bakery Page Builder è spesso incluso nei temi. Gli editori dovrebbero controllare i propri plugin e assicurarsi di disporre della versione più recente e più sicura, ovvero la 6.4.1.

Condividi:

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on whatsapp
WhatsApp

Qualora avessi bisogno di supporto o di maggiore approfondimento su questo e altri temi legati al digital marketing, contattaci per una consulenza gratuita: ti aiuteremo a raggiungere i tuoi obiettivi.

Richiedi una Consulenza Gratuita

    Potrebbe interessarti anche...

    Perché dovresti concentrarti sul SEO per la tua azienda

    [ad_1] Perché dovresti concentrarti sul SEO per la tua azienda Esistono molti metodi per commercializzare la tua attività. Tuttavia, si potrebbe sostenere che non esiste un metodo più efficace del SEO. Supponiamo che tu abbia già un’idea approssimativa di come funziona la SEO, quindi ti insegniamo perché dovresti concentrarti sulla

    Leggi tutto »
    Formazione
    Scopri le nostre proposte formative su www.digital-university.it

     

    La prima digital school il cui primo obiettivo è quello di diffondere la cultura digitale nel mercato e far crescere le ambizioni delle aziende del territorio.

     

    La nostra cultura digitale al vostro servizio:

     

    • Lezioni Dinamiche e ricche di esempi pratici
    • Confronto continuo
    • Docenti professionali e preparati
    • Spunti pratici attualizzati

    Offriamo formazione per tutti coloro che intendono accrescere la propria competenza digital e affianchiamo le aziende con corsi in aula o attraverso l’e-learning.

    Inserzione Pubblicitaria

    Richiedi Consulenza Gratuita

    Qualora avessi bisogno di supporto o di maggiore approfondimento su questo e altri temi legati al digital marketing, contattaci per una consulenza gratuita: ti aiuteremo a raggiungere i tuoi obiettivi.

    x
    WP2Social Auto Publish Powered By : XYZScripts.com