Su questa pagina: [nascondere]
Una vulnerabilità critica è stata scoperta nei commenti - plugin WordPress di wpDiscuz che è stato installato su più di 80,000 siti. La vulnerabilità è già stata risolta.
Le versioni interessate del plug-in includono le versioni 7.0.0 - 7.0.4. Secondo i ricercatori di Wordfence, la vulnerabilità consentiva agli autori di attacchi non autenticati di caricare file arbitrari, compresi i file PHP, eseguendo così l'esecuzione di codice in modalità remota sul server del sito vulnerabile.
Dopo aver contattato gli sviluppatori del plug-in, i ricercatori hanno fornito dettagli completi sulla divulgazione, e alla fine fu resa disponibile una patch. I siti interessati devono essere aggiornati alla versione 7.0.4 dei commenti - plugin wpDiscuz per evitare qualsiasi compromesso.
Ulteriori informazioni sui commenti - Vulnerabilità legata al plug-in wpDiscuz
La vulnerabilità, descritto come caricamento di file arbitrario, è stato introdotto nell'ultimo aggiornamento della versione principale del plug-in, Dice Wordfence. Al difetto è stato assegnato un punteggio CVSS di 10, rendendolo estremamente critico in quanto potrebbe provocare attacchi di esecuzione di codice in remoto sul server del sito interessato. Proprietari di siti che eseguono qualsiasi versione da 7.0.0 per 7.0., dovrebbe prendere in considerazione l'aggiornamento alla versione patchata, 7.0.5, il prima possibile.
wpDiscuz, che è stato installato su migliaia di siti WordPress, è un plugin per aree di commento reattivo. Il plugin è progettato per consentire agli utenti di discutere argomenti e personalizzare i loro commenti con l'aiuto di un editor di testi. Nelle ultime versioni 7.x.x del plug-in, gli sviluppatori hanno aggiunto la possibilità di includere allegati di immagini nei commenti caricati sul sito specifico. Questa nuova aggiunta, però, non aveva adeguate protezioni di sicurezza, creando così il problema critico.
Leggi anche Unsplash Plugin per WordPress: Perfetta integrazione per tutti i siti Web
Va notato che i commenti di wpDiscuz sono progettati con l'intenzione di consentire solo gli allegati alle immagini. “però, a causa delle funzioni di rilevamento del tipo mime di file utilizzate, la verifica del tipo di file potrebbe essere facilmente ignorata, consentendo agli utenti non autenticati la possibilità di caricare qualsiasi tipo di file, compresi i file PHP,” Wordfence spiega.
All'inizio di questo mese, lo stesso team di ricercatori sulla sicurezza ha segnalato una vulnerabilità in un altro plugin di WordPress. Il Plugin WordPress KingComposer è stato riscontrato che contiene diverse vulnerabilità che potrebbero portare al controllo dell'accesso su siti compromessi. Il plugin è stato installato su più di 100,000 siti. I ricercatori hanno scoperto uno scripting cross-site riflesso senza patch (XSS) difetto nel plugin KingComposer, identificato come CVE-2020-15299.
Tutto è risolto!
Il problema è 100% fisso e wpDiscuz è sicuro.
Puoi ignorarlo se hai già aggiornato a 7.0.5 o versione successiva (la versione attuale è 7.0.6).
Questo è stato risolto e la nuova versione 7.0.5 è stato rilasciato una settimana fa. Non ci sono problemi con l'attuale versione di wpDiscuz. Suo 100% sicuro adesso.
Questo tipo di problemi si verifica con quasi tutti i plugin di WordPress, quindi non c'è motivo di preoccuparsi se sei aggiornato e aggiornato.
Continua ad aggiornare i tuoi plug-in e assicurati di utilizzare le versioni più recenti.
Grazie!
Sviluppatori wpDiscuz
E alcuni numeri ...
Di 50% degli utenti di wpDiscuz utilizza attualmente le versioni 7.x.x.. Riguarda 35,000 siti web.
30,000 di loro sono già stati aggiornati per garantire 7.0.5 e versioni successive durante la scorsa settimana. E a proposito di 3,000 i siti web si aggiornano ogni giorno.
Quindi in uno due giorni quasi certamente non ci sarà alcun sito web con un vecchio non sicuro 7.0.0 - 7.0.4 versioni e quasi tutti i siti web saranno aggiornati e sicuri.
Ciao,
Grazie per essere passato! Ci auguriamo che tutti gli utenti del plugin lo abbiano già aggiornato, e nessuno è a rischio. Come hai detto: Continua ad aggiornare i tuoi plug-in e assicurati di utilizzare le versioni più recenti.
Grazie,
Il team di HowToHosting.guide