fbpx

Le peggiori vulnerabilità WordPress del mese di aprile 2024

Le peggiori vulnerabilità WordPress di aprile
Tabella dei Contenuti

Anche per il mese di aprile sul portale WordFence sono state segnalate e indicate diverse vulnerabilità rintracciate all’interno di plugin, temi e anche, nella carrellata che ti presentiamo oggi, all’interno di WordPress stesso.

A differenza di altre occasioni, stavolta tutte le vulnerabilità sono state risolte. Questo però significa che devi controllare se hai installato le versioni più recenti di ciò che utilizzi sul tuo sito web. Le vulnerabilità WordPress sono sempre possibili e questo perché semplicemente il software è prodotto dell’ingegno umano: per quanto si voglia prevedere tutto ciò che è possibile alcune situazioni sfuggono.

E nel momento in cui qualcosa sfugge si crea un pertugio digitale in cui rischiano di introdursi criminali informatici. Parlare delle vulnerabilità è quindi importante per mantenere l’ecosistema del proprio sito, ma anche quello di WordPress in generale e della rete, più sicuro per tutti.

quali sono state le peggiori vulnerabilità wordpress dell'ultimo mese
Vulnerabilità WordPress, le segnalazioni più importanti di WordFence – sos-wp.it

Vulnerabilità WordPress, le peggiori riscontrate nel mese di aprile

Come sempre, WordFence assegna a tutte le vulnerabilità che vengono pubblicate sul suo portale un valore che corrisponde alla pericolosità della vulnerabilità che è stata rintracciata. Nel mese di aprile merita il primo posto, purtroppo, la vulnerabilità rintracciata all’interno del plugin LayerSlider. Questo plugin viene utilizzato soprattutto per animare i contenuti all’interno di un sito e i risultati sono decisamente interessanti.

Come però segnalato da WordFence all’interno delle versioni 7.9.11 e 7.10.0 è stata riscontrata una vulnerabilità di tipo SQL injection, attraverso un markup. Si tratta di una vulnerabilità che è stata classificata 9.8 dato che se viene utilizzata può permettere a utenti malevoli anche non in possesso di chiave di autenticazione per la dashboard di inserire query SQL aggiuntive in quelle che sono già generate per il sito e, così facendo, chiedere l’estrazione di dati personali e sensibili degli utenti. Motivo per cui è la vulnerabilità con il livello di allerta più alto per il mese di aprile. La vulnerabilità è stata risolta e, per eliminarla, occorre solo aggiornare alla versione 7.10.1.

Scendendo con la pericolosità c’è da segnalare una vulnerabilità di tipo SQL injection, ma stavolta solo attivabile se si possiedono alcune credenziali specifiche, all’interno del tema Rehub. A riportare la notizia, accanto a WordFence anche Patchstack. E proprio Patchstack ne sottolinea la pericolosità dato che potrebbe essere sfruttata a ripetizione. La versione che devi possedere di questo tema per essere al sicuro è la 19.6.2. Anche la vulnerabilità di tipo Cross-Site Request Forgery riscontrata dentro LearnPress – WordPress LMS Plugin è stata classificata con un grado di pericolosità di 8.8 su 10. In questo caso le versioni coinvolte sono quelle prodotte fino alla numero 4.0.0. Per essere al sicuro devi quindi scaricare almeno la versione 4.0.1.

Royal Elementor Addons and Templates è risultato invece essere affetto da un tipo di vulnerabilità che consente di caricare file da parte di utenti non autenticati. La pericolosità è stata indicata con 8.2 su 10 ma, trattandosi di una vulnerabilità WordPress che nei fatti consente di caricare sui server di un sito file la pericolosità è difficile da valutare: i file che potrebbero essere caricati, infatti, a loro volta possono generare problemi molto importanti e compromettere la sicurezza degli utenti. Per questo plugin la versione corretta è la 1.3.95.

Le ultime due vulnerabilità che ti segnaliamo hanno rispettivamente un grado di pericolosità 7.5 e 7.2 su 10. Una è stata ritrovata in un altro elemento aggiuntivo per Elementor: HT Mega – Absolute Addons For Elementor. In questo caso si tratta della vulnerabilità classificata 7.5 e mette utenti malevoli non autenticati nelle condizioni di estrapolare dati sensibili, compresi quelli relativi agli ordini lasciati eventualmente dai clienti sui siti che vengono attaccati. La versione corretta è la 2.4.7. L’ultima vulnerabilità riguarda invece WordPress Core nelle versioni fino alla 6.5.2. È emerso infatti che c’è una vulnerabilità che consente un attacco Stored Cross-Site Scripting attraverso i blocchi Avatar. Questa vulnerabilità è risultata essere presente in varie versioni e per questo motivo è importante avere sempre la versione di WordPress più recente e aggiornata.

Ti potrebbe interessare anche

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Cosa stai cercando?

Chiamaci ora!

Hai bisogno di una mano? Il nostro team è pronto ad ascoltarti e a trovare la soluzione su misura per te. Clicca qui sotto e chiamaci per un preventivo gratuito:

Richiedi SOS-CheckUp Base Gratis

Qual è lo stato di salute del tuo sito WordPress?

Anche se tutto sembra funzionare sul tuo sito WordPress, potrebbero esserci dei problemi nascosti da risolvere immediatamente

Richiedi subito un check-up gratuito per scoprire quali sono i pericoli invisibili

Gestione cookie