I plugin Post Grid e Team Showcase contengono vulnerabilità - IT

di   |  Ultimo aggiornamento:  |  0 Commenti  

Su questa pagina: [nascondere]

  1. Vulnerabilità dei plug-in Post Grid e Team Showcase

vulnerabilità in post grid e team mostrano plugin wordpressA metà settembre, ricercatori di sicurezza a Wordfence (Ribelle) ha scoperto due gravi vulnerabilità in Post Grid. Post Grid è un plugin per WordPress con più di 60,000 installazioni, sviluppato da PickPlugins.

Durante l'analisi, il team ha scoperto vulnerabilità quasi identiche in Team Showcase, un altro plugin sviluppato dallo stesso autore. Il Team Showcase è finito 6,000 installazioni.
La buona notizia è che gli sviluppatori di plugin hanno rilasciato le patch solo poche ore dopo aver rivelato i difetti.

Vulnerabilità dei plug-in Post Grid e Team Showcase

Il primo plugin consente agli utenti di visualizzare i propri post in un layout a griglia, mentre Team Showcase mostra i membri del team di un'organizzazione. Entrambi i plugin consentivano l'importazione di layout personalizzati, con funzionalità quasi identiche. Anche se Post Grid non ha utilizzato la funzione di importazione vulnerabile, conteneva ancora il codice difettoso, rendendolo vulnerabile.

Un utente malintenzionato connesso potrebbe sfruttare entrambi i plug-in con autorizzazioni minime nello script cross-site memorizzato (XSS) attacchi. L'exploit può essere eseguito inviando una specifica richiesta AJAX.
Le versioni interessate sono Post Grid < 2.0.73 and Team Showcase < 1.22.16. The other vulnerabilities affecting both plugins could trigger PHP Object injection. The same layout functions posed the risk of PHP Object injection via the same method used in the cross-site scripting attack. This was possible thanks to the vulnerable functions, which unserialized the payload supplied in the source parameter. This flaw also required an attacker to have minimal privileges, such as a subscriber lever. “però, i siti che utilizzano un plug-in o un tema che consentiva a visitatori non autenticati di eseguire codici brevi arbitrari sarebbero vulnerabili ad aggressori non autenticati,"Dice Wordfence.

Come restare protetti?
Se il tuo sito WordPress utilizza uno di questi plugin, è necessario aggiornare immediatamente alle versioni più recenti. Attualmente, l'ultima versione di Post Grid è 2.0.73, mentre la versione più recente di Team Showcase è 1.22.16.

Se hai bisogno di maggiori dettagli tecnici sui difetti, a cui puoi fare riferimento i risultati originali.

Ricercato e creato da:
Krum Popov
Imprenditore appassionato del web, da allora realizza progetti web 2007. In 2020, ha fondato HTH.Guide, una piattaforma visionaria dedicata a semplificare la ricerca della soluzione di web hosting perfetta. Per saperne di più...
Revisionato tecnicamente da:
Metodi Ivanov
Esperto esperto di sviluppo web con 8+ Anni di esperienza, comprese conoscenze specialistiche negli ambienti di hosting. La sua esperienza garantisce che il contenuto soddisfi i più elevati standard di accuratezza e si allinei perfettamente con le tecnologie di hosting. Per saperne di più...

Nessun argomento correlato.

Lascio un commento

L'indirizzo email non verrà pubblicato. i campi richiesti sono contrassegnati *

Questo sito è protetto da reCAPTCHA e Google politica sulla riservatezza e Termini di servizio applicare.

Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo
Su HTH.Guide, offriamo recensioni trasparenti di web hosting, garantire l’indipendenza dalle influenze esterne. Le nostre valutazioni sono imparziali poiché applichiamo standard rigorosi e coerenti a tutte le recensioni.
Mentre potremmo guadagnare commissioni di affiliazione da alcune delle società presenti, queste commissioni non compromettono l'integrità delle nostre recensioni né influenzano le nostre classifiche.
I guadagni dell'affiliato contribuiscono a coprire l'acquisizione dell'account, spese di prova, Manutenzione, e lo sviluppo del nostro sito web e dei sistemi interni.
Affidati a HTH.Guide per informazioni affidabili e sincerità sull'hosting.