HAI BISOGNO DI INFORMAZIONI?
+39 06452216038
LIVE SUPPORT
Parla con un operatore

Hosting Per Te - HelpDesk

LIVE SUPPORT
Parla con un operatore
 
 Categorie Notizie
(17)Domini (3)dominio (53)Blog (79)Sicurezza (70)Wordpress (1)Cross-Site (2)vulnerabilità (13)wordpress (1)zero day (10)sicurezza (1)sitelock (29)News (2)google (1)indicizzazione (1)mobilegeddon (11)seo (23)Hosting (5)hosting (1)multi (1)reseller (1)rivenditore (1)provider (26)Email (38)Server (4)email (2)imap (1)imapsync (2)migrazione (1)posta (2)affiliazione (2)guadagnare (87)Ecommerce (4)e-commerce (2)ecommerce (4)VPN (1)wi-fi (2)backup (3)server (37)marketing (2)ppc (1)search-engine-optimization (1)seo pay-per-click (1)domini (2)gTLD (2)IP (1)IP-condiviso (1)IP-dedicato (2)cloud (1)virtuale (3)vps (21)Blogging (4)blog (2)blogging (49)CMS (3)cms (1)sito di successo (1)campagne e-mail (1)criptare dati (3)ssl (1)plugin e-commerce (1)newsletter (1)rivenditori (1)server vps smtp (1)SMTP (1)design responsivo (1)responsive design (1)responsive web design (2)hacking (5)malware (1)phishing (1)server upgrade (2)prestashop (3)campagna e-mail (3)e-mail marketing (1)contenuti sito (1)struttura pagina web (1)call-to-action (1)promozione sito (1)ottimizzare sito (1)cookie law (1)psicologia web design (1)vendita siti (1)website flipping (1)titolo (1)alternativa google analytics (2)monitoraggio (1)keyword (1)programmazione (1)facebook marketing (1)colori (2)clienti (1)privacy whois (1)crimini informatici (1)Cyber crime (1)search console di google (1)supporto managed (1)hacker (1)copyright (1)referrer spam (1)Split testing A/B (1)freelance (4)magento (1)Linux (2)Windows (1)upgrade piani hosting (1)Google SpeedTest (1)landing page (1)seo friendly (1)struttura link (1)errori wordpress (2)psicologia dei prezzi (2)metodi di pagamento (1)effetti sonori (3)APP (1)webmaster (1)fatturazione elettronica (1)sito web (1)backup wordpress (1)fan facebook (1)Exchange ActiveSync (1)POP3 (1)firma e-mail (1)web agency (1)ergonomia (1)editor (3)adwords (1)quality score (1)errori ecommerce (28)startup e business (1)errori azienda (1)sql injection (1)monetizzare (1)regole successo (1)nameserver (2)mailing list (2)responsive email (3)pec (3)bootstrap (1)Bing (1)Bing Ads (1)Foundation (4)framework (1)statistiche mobile (1)adwords per mobile (1)about page (1)chi siamo (1)seo vs ppc (1)errori webmaster principianti (25)SEO (1)PDF e SEO (1)ottimizzare pdf (75)strumenti (1)relazionarsi con i clienti (1)FAQ (1)tld srl (1)traffico (1)keywords (1)parole chiave (1)trend estero (5)statistiche (1)K.I.S.S. (1)plugin sicurezza wordpress (3)certificato ssl (1)template (1)black hat (1)Creative Common Zero (1)blog ecommerce (1)Google Smart Goals (2)web design (1)facebook ads (1)SFTP (1)FTP (2).htaccess (1)statistiche e-commerce (1)url brevi (2)cloud computing (1)HDD (1)grafici (1)librerie js (2)antivirus (1)framework css (1)Google Panda (2)Internet of Things (2)ransomware (1)TeslaCrypt (2)tecnologia (1)telelavoro (1)mobile friendly (1)proxy (2)cryptolocker (1)Processore AMD (1)rapporto clusit 2016 (2)truffe online (1)plugin monitoraggio (2)bug linux (1)ranking tools (1)social network (1)deep web (1)tor (1)plugin sottoscrizioni (1)link building (3)plugin wordpress (1)design (1)siti di successo (1)ottimizzare immagini (2)widget (1)sito monopagina (1)VPS Economici (1)trend del marketing (1)realtà aumentata (1)ip dinamico (1)progettazione sito (1)Redirect 301 e 302 (1)notifiche push (1)velocità sito (1)ottimizzazione contenuti (1)guadagnare con un blog (1)costi e-commerce (1)social media (1)frode amichevole (1)e-commerce wordpress (4)drupal (4)joomla (1)travel blog (4)php (1)chargeback (1)e-mail (1)plug-in video wordpress (1)sito sportivo (1)plug-in seo (1)drupal vs magento (1)portfolio (1)plug-in portfolio (1)sottodomini di terzo livello (1)sicurezza e-commerce (1)pubblicità su facebook (1)visualizza numero utenti (1)affiliate marketing (1)cartella nascosta android (1)creare app (2)Infiniband (1)Intel LGA 3647 (1)furto di dati sensibili (1)marketing diretto (1)record DNS (2)ddos (1)Mobile shopping (1)Malware su Skype (1)virus (1)youtube (1)seo immagini (1)web marketing (1)vendita online (1)food blogger (1)Plesk Onyx (1)Bug Fedora ed Ubuntu (1)Micro SSD (1)IoT (1)Chip Kaby Lake (1)primo e-commerce (1)blog di fitness (3)plug-in WordPress (1)SPF e DKIM (1)Cyber sicurezza (1)file robots.txt (1)AMD Naples (1)Vulnerabilità REST API WordPress (1)trasferimento da Blogger a WordPress (1)plug-in WordPress per musicisti (1)Crittazione (2)CPU (1)Legge antibufale (1)Strumenti di marketing (1)CPU AMD (1)nda (1)Let's Encrypt (1)Hosting Linux o Windows (1)progress bar (1)blog di cucina (1)PrestaShop oppure WooCommerce (1)carte di credito (1)librerie javascript (1)DDR5 (1)plugin monetizzazione (1)Wireless (2)drag and drop (1)web server (1)Curricula digitali (1)name server (2)Autenticazione a due fattori (1)Trend Tech (1)business online (1)Keylogger (1)infopreneur (1)E-book (1)WanaKiwi (1)file LNK (1)hub (1)router (1)switch (1)pdf (1)hosting provider gratuito (1)Shopify (1)Usabilità web (2)temi (1)confronto file (1)quiz (1)mockup (1)hosting provider (2)chat (1)ristoranti (1)database (1)spam (1)tool (1)Javascript (1)automazione (1)forum (1)compressione (2)webserver (1)Caching (1)video (1)Normative (1)Collaborazione (1)unicorn (2)robots.txt (1)funnel (1)redirect (1)Markdown (2)Google Tag Manager (1)apache (1)Ajax (1)wamp (1)xampp (1)browser (1)OSCommerce (1)Blockchain (1)sottodominio (1)sviluppo Web (1)Moduli (1)TLD (1)Google Analytics (3)plugin (1)e-mail professionale (1)amazon (1)cache (1)multilingua (1)traduzioni (1)Bitcoin (1)script (2)CSS (1)exFAT (1)FAT32 (1)tabelle (1)Mobile App (1)Web App (1)codici a barre (1)multisito (1)google script (1)node.js (1)Download Manager (1)smtp. newsletter (1)cpanel (2)plesk (1)wildcard (1)elementor (1)obsidian
Feed RSS
Notizie
gen
27

 

Un bug critico di WordPress colpisce 320.000 sitiUn bug dei plugins InfiniteWP Client e WP Time Capsule permette di bypassare l’autenticazione del famoso CMS lasciando vulnerabili moltissimi siti.

Due plugins di WordPress, InfiniteWP Client e WP Time Capsule, sono da un bug che consente di di accedere al back-end di un sito senza password.

E’ necessario un utente admin per i plugin di WordPress riuscendo così ad accedere al backend del CMS.

Entrambi presantano problemi nel codice che consente di accedere ad un account amministratore senza password” ha dichiarato WebArx in un post delineando la scoperta dei giorni scorsi.

Secondo alcune ricerche, 300.000 siti web presentano una versione vulnerabile del plug-in InfiniteWP Client, il plug-in WP Time Capsule è attivo invece su 20,000 siti web.

Entrambi i plug-in sono progettati per consentire agli utenti di autenticarsi su più installazioni WordPress da un’unica postazione, ciò consente ai proprietari di siti di effettuare operazioni di manutenzione (update, backup e restore) su molteplici siti semplicemente con un click.

Le vulnerabilità sono state segnalate per la prima volta il 7 gennaio 2020.

Il giorno successivo, gli sviluppatori hanno rilasciato nuove versioni dei plug-in.

 

Il bug di InfiniteWP

Le versioni colpite del plug-in InfiniteWP Client sono quelle inferiori alla 1.9.4.5.

La simulazione effettuata ha permesso di assegnare a tale vulnerabilità un punteggio CVSS (Common Vulenrability Scoring System) di 9.8 (critico).

L’attacco richiede l’invio di informazioni JSON, quindi Base64, successivamente viene inviato non elaborato al sito di destinazione attraverso una richiesta POST.

Il problema risiede nella funzione iwp_mmb_set_request che si trova all’interno del file init.php.

Come ha affermato WebArx, che ha condotto lo studio, il nome utente fornito dall’autore dell’attacco verrà utilizzato per accedere come utente senza eseguire ulteriori autenticazioni.

Nessuna password, nessun problema.

 

WP Time Capsule Bug

Per quanto riguarda WP Time Capsule, i ricercatori hanno identificato le versioni inferiori alla 1.21.16 come vulnerabili.

In questo caso, il payload può essere più semplice e deve contenere solo una determinata stringa nel corpo della richiesta POST non elaborata

Il problema si trova alla riga 12 di wptc-cron-functions.php dove viene analizzata tale richiesta.

In breve se la richiesta richiama la funzione wptc_login_as_admin (che acquisisce tutti gli account amministratore disponibili e utilizza il primo account nell’elenco ) permetterà l’accesso come amministratore”.

 

Mitigazione

I firewall possono dare gli utenti un falso senso di sicurezza quando si tratta di questa vulnerabilità.

Dal momento che le richieste sono codificate, potrebbe essere difficile distinguerle da richieste legittime.

Per questo motivo, i firewall basati su un cloud potrebbero non essere in grado di distinguere tra il traffico malevole da quello corretto e potrebbero non fornire una protezione efficace.

Per risolvere il problema è sufficiente aggiornare entrambe le versioni dei pugin (InfiniteWP Client e WP Time Capsule).

 

Se vuoi avere maggiori informazioni a riguardo o vuoi sapere come poterti proteggere da eventuali attacchi del tuo CMS, l’assistenza di HostingPerTe è disponibile a fornire il supporto di cui necessiti





Hosting Per Te
© 2015 - ARMADA
Partita IVA 00873530943
REA IS-38469
Tel +39 06452216038
Fax +39 0689280222
Il tuo IP: 18.206.194.161
Hosting Per Te Facebook   Hosting Per Te Twitter   Hosting Per Te Blog
ARMADA
Chiedi ad un nostro Operatore