WordPress: vulnerabilità plugin a cross-site scripting

Sono state rilevate vulnerabilità al cross-site scripting (XSS) in 13 plugin di WordPress nella versione attuale. Scopri quali sono e aggiornali!

Il sito CERT-PA, Computer Emergency Response Team Pubblica Amministrazione ha pubblicato pochi giorni fa un post secondo notificando di aver rilevato delle vulnerabilità in 13 plugin di WordPress. I plugin di WordPress in questione non sono neanche tra quelli meno diffusi o di nicchia, troviamo infatti nomi molto noti, come Jetpack di WP stesso e WooCommerce.

Secondo quanto rilevato da CERT-PA, i plugin di WordPress in questione sarebbero vulnerabili al cross-site scripting (XSS). XSS è una vulnerabilità che affligge siti dinamici con un controllo insufficiente dell’input nei form. Il cross-site scripting consente quindi agli hacker (o cracker) di inserire o eseguire codice client-side per attaccare il sito bersaglio. Con questo tipo di attacco i criminali informatici possono, tra le altre cose, raccogliere, manipolare o reindirizzare informazioni riservate, ma ovviamente questi sono solo alcuni esempi.

wordpress-plugin-vulnerabili

WordPress – I 13 plugin vulnerabili

I plugin attualmente vulnerabili al XSS sono i seguenti:

  • WordPress Prismatic versione 2.3
  • WordPress Popup-Builder versione 3.61.1
  • WordPress Ultimate-Member versione 2.1.3
  • WordPress Jetpack versione 8.2
  • WordPress Forminator versione 1.11.2 (anche vulnerabile a Remote file upload)
  • WordPress Events-Manager versione 5.9.7.3
  • WordPress Default-Featured-Image versione 1.6.1
  • WordPress Yikes Inc Easy Mailchimp Extender versione 6.6.2
  • WordPress WPForms-Lite versione 1.5.8.2
  • WordPress Wordfence versione 7.4.6
  • WordPress WooCommerce versione 3.9.2
  • WordPress TinyMCE-Advanced versione 5.3.0
  • WordPress Really-Simple-SSL versione 3.2.9

Come consiglia anche CERT-PA, non posso che ribadire quanto sia importante assicurarsi che i plugin installati sul proprio sito siano sempre aggiornati all’ultima versione, proprio per evitare che vi siano vulnerabilità sfruttabili dai malintenzionati. Quindi se non l’avessi già fatto, controlla subito di aver aggiornato tutti i tuoi plugin di WordPress, in particolare questi con vulnerabilità conclamate.

Visto che per alcuni dei plugin vulnerabili di WordPress non è ancora disponibile un aggiornamento, controlla anche se il tuo hosting (ad esempio Chemicloud) offre la possibilità di proteggere il tuo sito WP con una soluzione di sicurezza informatica server-side, come Immunify360.

Indice

Il tuo indirizzo IP è:

18.97.9.169

La tua posizione è:

Ashburn,

USA

Il tuo indirizzo IP e la tua posizione sono visibili a chiunque.

Torna in alto

Offerta a tempo limitato:

Giorni
Ore
Minuti
Secondi

Risparmia il 72%!

su VPN + Antimalware!

Garanzia soddisfatti o rimborsati di 30 giorni

Offerta a tempo limitato:

Giorni
Ore
Minuti
Secondi

Risparmia il 72%!

su VPN + Antimalware!

Garanzia soddisfatti o rimborsati di 30 giorni

Indice

Il tuo indirizzo IP è:

18.97.9.169

La tua posizione è:

Ashburn,

USA

Il tuo indirizzo IP e la tua posizione sono visibili a chiunque.