Le gravi vulnerabilità di WordPress Popup Builder

È stato scoperto che il popolare Popup Plugin Builder per WordPress presenta molteplici vulnerabilità. Queste vulnerabilità potrebbero consentire ad un utente malintenzionato di inserire uno JavaScript dannoso in un popup.

La vulnerabilità del plug-in WordPress, che interessa le versioni di Popup Builder inferiori alla versione 3.64.1, è stata scoperta da WordFence il 4 marzo 2020.

Gli sviluppatori di plug-in hanno caricato un file con patch l’11 marzo, quando il plug-in aggiornato è stato reso disponibile per il download.

Changelog

Un changelog è una spiegazione di cosa sia un aggiornamento.

È importante che un changelog sia descrittivo in modo che l’utente del plugin possa sapere se qualcosa è urgente.

Sfortunatamente, alcuni sviluppatori di plug-in di WordPress non menzionano il problema di sicurezza o lo descrivono in termini vaghi e generici.

Il changelog del plug-in Popup Builder rileva che esiste un aggiornamento per la sicurezza, ma non ne menziona la gravità o l’importanza, seppur rivelando che l’aggiornamento risolve una falla di sicurezza.

L’aggiornamento è descritto come “Correzioni di sicurezza” che comunica tecnicamente che un problema di sicurezza è stato corretto non fornisce un senso di urgenza necessario per una vulnerabilità di questa gravità.

Quali sono le vulnerabilità?

Esistono due vulnerabilità.

La prima vulnerabilità consente a qualcuno di inserire JavaScript dannosi in un popup.

La seconda vulnerabilità consente agli hacker di scaricare elenchi di abbonati e ottenere l’accesso a numerose funzionalità dei plug-in.

Questa vulnerabilità interessa oltre 100.000 utenti: per questo è importante che i publisher scarichino e aggiornino i loro plug-in.

Secondo Wordfence, gli hacker utilizzano una vulnerabilità come questa per reindirizzare i visitatori del sito verso altri siti di pubblicità dannosa, per rubare informazioni sensibili dai loro browser o utilizzati per avere accesso al sito se un amministratore ha visitato o visualizzato in anteprima una pagina contenente il popup infetto durante l’accesso.

Per questi motivi è molto importante aggiornare questo plugin, per cercare di evitare il facile accesso degli hacker.

Se vuoi avere maggiori informazioni a riguardo o vuoi sapere come poterti proteggere da eventuali attacchi del tuo CMS, l’assistenza di HostingPerTe è disponibile a fornire il supporto di cui necessiti.

Contatta il nostro supporto tecnico all’indirizzo mail o al numero +3906452216038, troverai un team di esperti in grado di rispondere ad ogni tua esigenza

You may also like