skip to Main Content

WordPress, nuova vulnerabilità sui plugin: questa volta è WP Live Chat Support

WordPress, Nuova Vulnerabilità Sui Plugin: Questa Volta è WP Live Chat Support

Nuovo pericolo per WordPress, derivato dai plugin. Sucuri trova una falla in WP Live Chat Support, che potrebbe portare alla compromissione in massa dei siti

Nuovo pericolo sui plugin di WordPress, che potrebbe compromettere in massa siti degli utenti. E’ una vulnerabilità in WP Live Chat Support, scoperta dai ricercatori di cyber security di Sucuri. La falla consente a un attore malevolo di inserire un suo codice e di farlo girare sul sito. Questa è stata risolta con l’aggiornamento alla versione 8.0.29, appena rilasciata. La stessa azienda, infatti, avvisa della minaccia cibernetica e invita tutti gli utenti a fare l’upgrade immediato. Ma chi non lo ha ancora fatto, è a rischio di subire un attacco “unathenticated”. Peraltro, questo tipo di aggressioni è molto serio in quanto può essere automatizzato dagli hacker malevoli. Ciò permette loro di lanciarne molte in contemporanea su una platea molto vasta. Il sito del plugin, infatti, riporta che questo è stato scaricato quasi 1,5 milioni di volte.

Gli esperti di cyber security: La vulnerabilità si trova in un hook “admin_init” non protetto. Un hacker malevolo potrebbe utilizzarla per aggiornare l’opzione JavaScript “wplc_custom_js”

Secondo Sucuri, la vulnerabilità di WP Live Chat Support si trova in un hook “admin_init” non protetto. Un hook è un modo per interagire con un pezzo di codice e cambiarne un altro. WordPress lo richiama ogni volta che qualcuno visita la pagina di amministrazione di un sito e gli sviluppatori possono usarlo per chiamare varie funzioni. Gli esperti di cyber security sottolineano che il problema nasce dal fatto che “admin_init” non richiede autenticazione. Ciò significa che chiunque visiti l’URL dell’amministratore può causarne l’esecuzione. L’hook di amministrazione del plugin avvia un’azione chiamata “wplc_head_basic”, che aggiorna le impostazioni del plugin senza controllare i privilegi dell’utente. Un hacker malevolo potrebbe utilizzare questa vulnerabilità per aggiornare un’opzione JavaScript denominata “wplc_custom_js”, che controlla il contenuto che il plug-in visualizza ogni volta che appare la finestra del live chat support.

Back To Top