WordPress: rilevata vulnerabilità critica in uno dei temi più popolari, Divi

WordPress: rilevata vulnerabilità critica in uno dei temi più popolari, Divi

Divi è uno dei temi WordPress più usati ed amati dai webmaster. Una vulnerabilità critica è stata trovata al suo interno da un team di ricercatori, così come in altre proprietà di Elegant Themes

di pubblicata il , alle 15:01 nel canale Web
 

Una vulnerabilità critica è stata rilevata all'interno di due temi WordPress di Elegant Themes, il famosissimo Divi e e la sua variante Extra, così come in Divi Builder, un plug-in di WordPress usato dai due temi in questione. Si tratta di prodotti complessivamente presenti in oltre 700 mila siti.

La vulnerabilità dà modo ai malintenzionati autenticati ai siti come autori di caricare file e ottenere la possibilità di eseguire codice in modalità remota sul server su cui risiede il sito vulnerabile. Si trovava all'interno della funzione di importazione o esportazione dei modelli di pagina. In assenza di un controllo specifico, la funzione offre a un utente malintenzionato la possibilità di bypassare con facilità il check di verifica JavaScript client-side e di caricare file PHP che possono essere utilizzati per prendere il controllo di un intero sito.

WordPress Divi

Elegant Themes è il creatore di uno dei temi premium di WordPress più popolari, Divi. Buona parte del successo del tema scaturisce dal plug-in Divi Page Builder, che rende il processo di progettazione e modifica del sito molto semplice e alla portata di tutti. In particolare, gli utenti che hanno la possibilità di realizzare le pagine di un sito possono importare ed esportare modelli di pagina Divi utilizzando la funzionalità di portabilità integrata nel plug-in. È proprio qui, e nel check di verifica client-side, che è stata rilevata la vulnerabilità.

Il difetto è stato individuato inizialmente da WordFence, che ha informato Elegant Themes lo scorso 23 luglio fornendo dettagli circostanziati sulla vulnerabilità. Adesso che Elegant Themes ha rilasciato le patch per inibire il funzionamento del codice malevolo l'inconveniente è stato reso pubblico.

La versione 4.5.3 dei prodotti Elegant Themes è l'unica sicura, mentre WordFence raccomanda caldamente di provvedere all'aggiornamento dell'editor o del plug-in nel caso si usino versioni obsolete. In alternativa, si può utilizzare il plug-in Security Patcher fino a quando non sarà possibile aggiornare in modo sicuro.

WordFence offre un plug-in di sicurezza di WordPress che protegge da problemi di questo tipo. Il loro servizio, in particolare, rileva le vulnerabilità di WordPress e garantisce agli utenti premium protezione non appena il problema viene identificato.

I migliori sconti su Amazon oggi

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; bianco

Compra ora
-9%

CMF Phone 1 8+128GB - Smartphone con fotocamera posteriore Sony da 50 MP con Ultra XDR, Display Super AMOLED da 6,67 pollici e Nothing OS 2.6, Nero, Non supporta eSIM

239.00 216.62 Compra ora
-42%

Cecotec Friggitrice ad Aria Senza Olio Cecofry Fantastik 5500 da 5,5 L. 1500W, Tecnologia PerfectCook, 9 modalità di cottura, Touch, Regolabile 80-200°C, Cottura fino a 60 minuti

76.90 44.90 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^