Wordpress, un milione di siti a rischio: aggiornare subito questo plug-in

Wordpress, un milione di siti a rischio: aggiornare subito questo plug-in

Una vulnerabilità di un plug-in per Elementor permette di cambiare la password di qualsiasi utente, anche di quelli con permessi di amministratore. E' già disponibile la versione aggiornata che risolve il problema

di pubblicata il , alle 17:31 nel canale Sicurezza
WordPress
 

"Essential Addons for Elementor", uno dei plug-in più popolari di Wordpress, ha mostrato una vulnerabilità di sorpasso di autorizzazioni che potrebbe consentire ad attaccanti remoti di guadagnare un accesso amministratore al sito web su cui è installato il plugin. Utilizzato su oltre un milione di siti web, Essential Addons for Elementor è una libreria di 90 estensioni per il generatore di pagine Elementor.

La vulnerabilità è stata individuata da PatchStack lo scorso 8 maggio ed è tracciata con la sigla CVE-2023-32243. Più nello specifico si tratta di una vulnerabilità di privilege escalation non autenticati sulla funzionalità di rempostazione della password dei plugin e interessa le versioni da 5.4.0 a 5.7.1.

La falla, quando sfruttata, può permettere di reimpostare la password di qualsiasi utente di cui si conosca il nome: questo può avvenire anche reimpostando la password di un account sviluppatore così da accedere al sito con i suoi permessi. "La vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave e invece modifica direttamente la password dell'utente indicato" scrive PatchStack.

E' immediatamente intuibile quali possano essere le conseguenze e la loro gravità: accesso non autorizzato ad informazioni private, defacing, compromissione o eliminazione di siti web, diffusione di malware e eventuali danni di immagine.

PatchStack ha pubblicato una serie di dettagli tecnici che spiegano in che modo sia possibile sfruttare la vulnerabilità, questo perché il plugin Essential Addons for Elementor è già stato aggiornato alla versione 5.7.2 che risolve il problema. Il consiglio, per tutti coloro i quali fanno uso di questo plugin, è quello di aggiornare immediatamente all'ultima versione per mettersi così al riparo da problemi e inconvenienti.

I migliori sconti su Amazon oggi
-21%

Apple Portatile MacBook Air 13'' con chip M4 (2025): progettato per Apple Intelligence, display Liquid Retina da 13,6'', 16GB di memoria unificata, 256GB di archiviazione SSD, Touch ID; Argento

1149.00 903.99 Compra ora
-21%

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

35.99 Compra ora
-27%

origimagic C4 Mini PC,con Ryzen 5 3550H Processor(fino a 3,7GHz) Light Gaming PC,16GB RAM,512GB SSD,Supporto Triple Display,USB3.2/Doppia Ethernet/Wi-Fi5/BT 5.0,Mini Desktop per Ufficio Domestico

219.00 160.54 Compra ora
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
acerbo12 Maggio 2023, 20:25 #1
UtenteHD15 Maggio 2023, 09:57 #2
Purtroppo il problema e' proprio quello... aggiornare.. dovrebbero forzarli sti aggiornamenti a tutti e via.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^