HAI BISOGNO DI INFORMAZIONI?
+39 06452216038
LIVE SUPPORT
Parla con un operatore

Hosting Per Te - HelpDesk

LIVE SUPPORT
Parla con un operatore
 
 Categorie Notizie
(24)Domini (5)dominio (99)Blog (97)Sicurezza (84)Wordpress (1)Cross-Site (4)vulnerabilità (25)wordpress (1)zero day (12)sicurezza (1)sitelock (40)News (2)google (1)indicizzazione (1)mobilegeddon (12)seo (40)Hosting (7)hosting (1)multi (1)reseller (1)rivenditore (1)provider (30)Email (48)Server (4)email (2)imap (1)imapsync (2)migrazione (1)posta (3)affiliazione (2)guadagnare (95)Ecommerce (4)e-commerce (2)ecommerce (5)VPN (1)wi-fi (3)backup (4)server (41)marketing (2)ppc (1)search-engine-optimization (1)seo pay-per-click (1)domini (2)gTLD (2)IP (1)IP-condiviso (1)IP-dedicato (2)cloud (1)virtuale (5)vps (50)Blogging (5)blog (2)blogging (73)CMS (5)cms (1)sito di successo (1)campagne e-mail (1)criptare dati (5)ssl (1)plugin e-commerce (1)newsletter (1)rivenditori (1)server vps smtp (1)SMTP (1)design responsivo (1)responsive design (1)responsive web design (2)hacking (5)malware (1)phishing (1)server upgrade (3)prestashop (3)campagna e-mail (3)e-mail marketing (1)contenuti sito (1)struttura pagina web (1)call-to-action (1)promozione sito (1)ottimizzare sito (1)cookie law (1)psicologia web design (1)vendita siti (1)website flipping (1)titolo (1)alternativa google analytics (2)monitoraggio (1)keyword (1)programmazione (1)facebook marketing (1)colori (2)clienti (1)privacy whois (1)crimini informatici (1)Cyber crime (1)search console di google (1)supporto managed (1)hacker (1)copyright (1)referrer spam (1)Split testing A/B (1)freelance (5)magento (2)Linux (3)Windows (1)upgrade piani hosting (1)Google SpeedTest (2)landing page (1)seo friendly (1)struttura link (1)errori wordpress (2)psicologia dei prezzi (2)metodi di pagamento (1)effetti sonori (3)APP (1)webmaster (1)fatturazione elettronica (2)sito web (1)backup wordpress (1)fan facebook (1)Exchange ActiveSync (1)POP3 (1)firma e-mail (1)web agency (1)ergonomia (1)editor (3)adwords (1)quality score (1)errori ecommerce (37)startup e business (1)errori azienda (1)sql injection (1)monetizzare (1)regole successo (1)nameserver (2)mailing list (2)responsive email (4)pec (3)bootstrap (1)Bing (1)Bing Ads (1)Foundation (4)framework (1)statistiche mobile (1)adwords per mobile (1)about page (1)chi siamo (1)seo vs ppc (1)errori webmaster principianti (30)SEO (1)PDF e SEO (1)ottimizzare pdf (82)strumenti (1)relazionarsi con i clienti (1)FAQ (1)tld srl (1)traffico (1)keywords (1)parole chiave (1)trend estero (5)statistiche (1)K.I.S.S. (1)plugin sicurezza wordpress (3)certificato ssl (1)template (1)black hat (1)Creative Common Zero (1)blog ecommerce (1)Google Smart Goals (2)web design (1)facebook ads (1)SFTP (1)FTP (2).htaccess (1)statistiche e-commerce (1)url brevi (2)cloud computing (1)HDD (1)grafici (1)librerie js (2)antivirus (1)framework css (1)Google Panda (2)Internet of Things (2)ransomware (1)TeslaCrypt (2)tecnologia (1)telelavoro (1)mobile friendly (1)proxy (2)cryptolocker (1)Processore AMD (1)rapporto clusit 2016 (2)truffe online (1)plugin monitoraggio (2)bug linux (1)ranking tools (1)social network (1)deep web (1)tor (1)plugin sottoscrizioni (1)link building (3)plugin wordpress (1)design (1)siti di successo (1)ottimizzare immagini (2)widget (1)sito monopagina (1)VPS Economici (1)trend del marketing (1)realtà aumentata (1)ip dinamico (1)progettazione sito (1)Redirect 301 e 302 (1)notifiche push (1)velocità sito (1)ottimizzazione contenuti (1)guadagnare con un blog (1)costi e-commerce (2)social media (1)frode amichevole (1)e-commerce wordpress (6)drupal (6)joomla (1)travel blog (4)php (1)chargeback (1)e-mail (1)plug-in video wordpress (1)sito sportivo (1)plug-in seo (1)drupal vs magento (1)portfolio (1)plug-in portfolio (1)sottodomini di terzo livello (1)sicurezza e-commerce (1)pubblicità su facebook (1)visualizza numero utenti (2)affiliate marketing (1)cartella nascosta android (1)creare app (2)Infiniband (1)Intel LGA 3647 (1)furto di dati sensibili (1)marketing diretto (1)record DNS (3)ddos (1)Mobile shopping (1)Malware su Skype (1)virus (1)youtube (1)seo immagini (1)web marketing (1)vendita online (1)food blogger (1)Plesk Onyx (1)Bug Fedora ed Ubuntu (1)Micro SSD (1)IoT (1)Chip Kaby Lake (1)primo e-commerce (1)blog di fitness (3)plug-in WordPress (1)SPF e DKIM (1)Cyber sicurezza (1)file robots.txt (1)AMD Naples (1)Vulnerabilità REST API WordPress (1)trasferimento da Blogger a WordPress (1)plug-in WordPress per musicisti (1)Crittazione (2)CPU (1)Legge antibufale (1)Strumenti di marketing (1)CPU AMD (1)nda (3)Let's Encrypt (1)Hosting Linux o Windows (1)progress bar (1)blog di cucina (1)PrestaShop oppure WooCommerce (1)carte di credito (1)librerie javascript (1)DDR5 (1)plugin monetizzazione (1)Wireless (2)drag and drop (1)web server (1)Curricula digitali (1)name server (2)Autenticazione a due fattori (1)Trend Tech (1)business online (1)Keylogger (1)infopreneur (1)E-book (1)WanaKiwi (1)file LNK (1)hub (1)router (1)switch (1)pdf (1)hosting provider gratuito (1)Shopify (1)Usabilità web (2)temi (1)confronto file (1)quiz (1)mockup (1)hosting provider (2)chat (1)ristoranti (1)database (2)spam (1)tool (1)Javascript (1)automazione (1)forum (1)compressione (2)webserver (1)Caching (1)video (1)Normative (1)Collaborazione (1)unicorn (2)robots.txt (1)funnel (1)redirect (1)Markdown (2)Google Tag Manager (1)apache (1)Ajax (1)wamp (1)xampp (2)browser (1)OSCommerce (1)Blockchain (1)sottodominio (1)sviluppo Web (1)Moduli (1)TLD (1)Google Analytics (7)plugin (1)e-mail professionale (1)amazon (1)cache (1)multilingua (1)traduzioni (1)Bitcoin (1)script (2)CSS (1)exFAT (1)FAT32 (1)tabelle (1)Mobile App (1)Web App (1)codici a barre (1)multisito (1)google script (1)node.js (1)Download Manager (1)smtp. newsletter (3)cpanel (2)plesk (1)wildcard (2)elementor (1)obsidian (3)mail (1)andràtuttobene (1)solidarietàdigitale (1)xss (1)trasferimento (1)scraping (1)dns (1)wp-admin (1)favicon (1)maninthemiddle (1)cybersquatting (1)marchio (1)breadcrumb (1)gutenberg (1)uptime (1)media (1)social (1)core (1)vitals (1)web (1)velocità (1)errori (1)ux (1)condiviso (1)gtmetrix (1)whm (1)off (1)page (1)microsoft (1)windows11 (1)rce (1)2022 (1)tag (1)title (1)ninja forms (1)Programma Affiliati (1)affiliati (1)Social Media Marketing (1)b2b (1)linkedin
Feed RSS
Notizie
feb
12

È stato riscontrato che i componenti aggiuntivi essenziali per Elementor, un popolare plug-in WordPress utilizzato in oltre un milione di siti, presentano una vulnerabilità critica di esecuzione di codice remoto (RCE) nella versione 5.0.4 e precedenti.

Il difetto consente a un utente non autenticato di eseguire un attacco di inclusione di file locali, come un file PHP, per eseguire codice sul sito.

“La vulnerabilità dell’inclusione di file locali esiste a causa del modo in cui i dati di input dell’utente vengono utilizzati all’interno della funzione inclusione di PHP che fa parte delle funzioni ajax_load_more e ajax_eael_product_gallery” spiegano i ricercatori di PatchStack che hanno scoperto la vulnerabilità.

L’unico prerequisito per l’attacco è che il sito abbia i widget “galleria dinamica” e “galleria prodotti” abilitati in modo che non sia presente un controllo token.

I ricercatori hanno scoperto la vulnerabilità il 25 gennaio 2022 ma lo sviluppatore del plugin era già a conoscenza della sua esistenza.

In effetti, l’autore ha rilasciato la versione 5.0.3 per risolvere questo problema applicando una funzione “sanitize_text_field” sui dati di input dell’utente.

Tuttavia, questa sanificazione non impedisce l’inclusione di payload locali.

Il secondo tentativo è stato la versione 5.0.4, che ha aggiunto la funzione “sanitize_file_name” e ha tentato di rimuovere caratteri speciali, punti, barre e tutto ciò che potrebbe essere utilizzato per ignorare il passaggio di sanificazione del testo.

Questa era la versione che Patchstack ha testato e ha trovato vulnerabile, quindi hanno informato lo sviluppatore che la correzione non aveva mitigato sufficientemente il problema.

Alla fine, l’autore ha rilasciato la versione 5.0.5 che ha implementato la funzione “realpath” di PHP, prevenendo risoluzioni dannose dei percorsi.

Questa versione è stata rilasciata il 28 gennaio 2022, e in questo momento è stata installata solo circa 380.000 volte secondo le statistiche di download di WordPress.

Con il plug-in installato in oltre 1 milione di siti WordPress, significa che ci sono oltre 600.000 siti che non hanno ancora applicato l’aggiornamento di sicurezza.

Se sei tra i tanti che utilizzano Essential Addons per Elementor, puoi ottenere l’ultima versione di WordPress o avviare l’aggiornamento direttamente dalla dashboard di WordPress.

Per impedire che qualcuno possa sfruttare i difetti di inclusione di file locali anche quando non possono essere mitigati direttamente, basterà attenersi ad una semplice procedura:

  • Salva i percorsi dei tuoi file in un database sicuro e fornisci un ID per ognuno di essi.
  • Usa i file della lista consentita verificati e protetti e ignora tutto il resto.
  • Non includere file su un server Web che possono essere compromessi, ma utilizzare invece un database.
  • Fai in modo che il server invii automaticamente le intestazioni di download invece di eseguire i file in una directory specificata.

Se hai bisogno di aiuto o vuoi maggiori informazioni, contatta il nostro supporto tecnico all’indirizzo mail o al numero +3906452216038, troverai un team di esperti in grado di rispondere ad ogni tua esigenza.

5/5 - (8 votes)




Hosting Per Te
© 2015 - ARMADA
Partita IVA 00873530943
REA IS-38469
Tel +39 06452216038
Fax +39 0689280222
Il tuo IP: 3.223.3.251
Hosting Per Te Facebook   Hosting Per Te Twitter   Hosting Per Te Blog
ARMADA
Chiedi ad un nostro Operatore