WordPress, Profile Builder e ThemeGrill Demo Importer a rischio

WordPress, falle su Profile Builder e ThemeGrill Demo ImporterLa falla consente attraverso un payload modificato di cancellare il database di WordPress ed ottenere i privilegi di amministratore.

La colpa è da attribuire a Profile Builder e ThemeGrill Demo Importer di ThemeGrill.

Attualmente risultano colpiti più di 200.000 siti.

 

 

Dopo le recenti falle di sicurezza relative InfiniteWP Client e WP Time Capsule (Leggi Qui) ed Elementor (Leggi Qui), una nuova problematica affligge WordPress.

ThemeGrill, società di sviluppo web che si occupa della vendita di temi WordPress commerciali, rilascia insieme ai suoi temi, due plugin: Profile Builder e ThemeGrill Demo Importer.

Entrambi plugin sono affetti da una grave vulnerabilità.

Profile Builder

Profile Builder è un plug-in per la creazione di moduli utilizzato principalmente per blog e siti Web con sezioni di commento.

Il bug su ProfileBuilder permette all’attaccante di inviare input su campi del modulo che non sono presenti. 

In particolare, se l’amministratore del sito non ha aggiunto il campo Ruolo utente al modulo, l’aggressore potrebbe aggiungere un ruolo utente nella realizzazione del modulo.

ThemeGrill Demo Importer

ThemeGrill Demo Importer è un plugin che consente agli amministratori delle piattaforme WordPress di importare contenuti demo, widget e impostazioni per i temi ThemeGrill.

Lo sfruttamento della vulnerabilità provoca il popolamento del database con impostazioni e dati predefiniti e, se il database include un utente chiamato “admin“, lo sfruttamento comporterà anche l’attaccante che accederà automaticamente come amministratore.

E’ possibile che non tutti i siti WordPress su cui è installato il plugin siano vulnerabili ad accessi non autorizzati poiché bisogna aver utilizzato il plugin per installare il tema del sito, condizione affinché lo sfruttamento avvenga con successo.

Se vuoi avere maggiori informazioni a riguardo o vuoi sapere come poterti proteggere da eventuali attacchi del tuo CMS, l’assistenza di HostingPerTe è disponibile a fornire il supporto di cui necessiti.

Contatta il nostro supporto tecnico all’indirizzo mail o al numero +3906452216038, troverai un team di esperti in grado di rispondere ad ogni tua esigenza

 

 

You may also like