200 mila siti WordPress a rischio per il bug di un plugin ThemeGrill

200 mila siti WordPress a rischio per il bug di un plugin ThemeGrill

Il bug consente ad un attaccante non autenticato di eliminare completamente i contenuti del database e di prendere il controllo come amministratore

di pubblicata il , alle 16:41 nel canale Sicurezza
 

Chi si trova ad amministrare un sito web WordPress e fa uso dei template commerciali messi a disposizione da ThemeGrill dovrebbe aggiornare il prima possibile uno dei plugin che si installa con questi temi, per poter risolvere un bug pericoloso che potrebbe consentire ad un attaccante di compromettere il sito eliminandone i contenuti.

La vulnerabilità si trova nel plugin ThemeGrill Demo Importer, che eroga i temi venduti da ThemeGrill, una società di sviluppo web che vende temi WordPress commerciali. Il plugin risulta installato su oltre 200 mila siti web, e permette al gestore del sito di importare contenuti dimostrativi all'interno dei template ThemeGrill, così da poter visionare esempi e disporre di un punto di partenza da cui iniziare a costruire i propri siti web.

La società WebARX, che si occupa nello specifico di sicurezza per WordPress, ha pubblicato un report in cui segnala che le vecchie versioni di ThemeGrill Demo Importer sono vulnerabili ad attacchi remoti da attaccanti non autenticati. Gli hacker da remoto possono inviare ai siti vulnerabili un payload opportunamente assemblato per innescare una funzione all'interno del plugin. Questa funzione resetta il database del sito, eliminando completamente i contenuti per tutti: sono a rischio quindi i siti WordPress in cui c'è un template ThemeGrill attivo, e con il plugin vulnerabile installato. Inoltre se il database del sito contiene un utente dal nome Admin, l'attaccante può ottenere gli accessi a quell'utente con i privilegi di amministratore per tutto il sito.

La vulnerabilità riguarda le versioni di ThemeGrill Demo Importer dalla 1.3.4 fino alla 1.6.1. Theme Grill ha risolto il problema e rilasciato una versione aggiornata del plugin, la 1.6.2, nel corso del fine settimana.

Si tratta del secondo bug Wordpress scoperto quest'anno e che può permettere all'attaccante di eliminare i database del sito. Lo scorso mese Wordfence ha scoperto un problema simile nel plugin WP Database Reset, installato su oltre 80 mila siti web. Potete approfondire l'argomento alla notizia Falle gravi per tre plugin WordPress: 400 mila siti a rischio.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^