Commenti – Il plugin WordPress wpDiscuz contiene una vulnerabilità critica - IT


Una vulnerabilità critica è stata scoperta nei commenti - plugin WordPress di wpDiscuz che è stato installato su più di 80,000 siti. La vulnerabilità è già stata risolta.

Le versioni interessate del plug-in includono le versioni 7.0.0 - 7.0.4. Secondo i ricercatori di Wordfence, la vulnerabilità consentiva agli autori di attacchi non autenticati di caricare file arbitrari, compresi i file PHP, eseguendo così l'esecuzione di codice in modalità remota sul server del sito vulnerabile.

Dopo aver contattato gli sviluppatori del plug-in, i ricercatori hanno fornito dettagli completi sulla divulgazione, e alla fine fu resa disponibile una patch. I siti interessati devono essere aggiornati alla versione 7.0.4 dei commenti - plugin wpDiscuz per evitare qualsiasi compromesso.

Ulteriori informazioni sui commenti - Vulnerabilità legata al plug-in wpDiscuz

La vulnerabilità, descritto come caricamento di file arbitrario, è stato introdotto nell'ultimo aggiornamento della versione principale del plug-in, Dice Wordfence. Al difetto è stato assegnato un punteggio CVSS di 10, rendendolo estremamente critico in quanto potrebbe provocare attacchi di esecuzione di codice in remoto sul server del sito interessato. Proprietari di siti che eseguono qualsiasi versione da 7.0.0 per 7.0., dovrebbe prendere in considerazione l'aggiornamento alla versione patchata, 7.0.5, il prima possibile.

wpDiscuz, che è stato installato su migliaia di siti WordPress, è un plugin per aree di commento reattivo. Il plugin è progettato per consentire agli utenti di discutere argomenti e personalizzare i loro commenti con l'aiuto di un editor di testi. Nelle ultime versioni 7.x.x del plug-in, gli sviluppatori hanno aggiunto la possibilità di includere allegati di immagini nei commenti caricati sul sito specifico. Questa nuova aggiunta, però, non aveva adeguate protezioni di sicurezza, creando così il problema critico.


Leggi anche Unsplash Plugin per WordPress: Perfetta integrazione per tutti i siti Web


Va notato che i commenti di wpDiscuz sono progettati con l'intenzione di consentire solo gli allegati alle immagini. “però, a causa delle funzioni di rilevamento del tipo mime di file utilizzate, la verifica del tipo di file potrebbe essere facilmente ignorata, consentendo agli utenti non autenticati la possibilità di caricare qualsiasi tipo di file, compresi i file PHP,” Wordfence spiega.

All'inizio di questo mese, lo stesso team di ricercatori sulla sicurezza ha segnalato una vulnerabilità in un altro plugin di WordPress. Il Plugin WordPress KingComposer è stato riscontrato che contiene diverse vulnerabilità che potrebbero portare al controllo dell'accesso su siti compromessi. Il plugin è stato installato su più di 100,000 siti. I ricercatori hanno scoperto uno scripting cross-site riflesso senza patch (XSS) difetto nel plugin KingComposer, identificato come CVE-2020-15299.

Ricercato e scritto da:
Editor di HowToHosting
HowToHosting.guide fornisce competenze e approfondimenti sul processo di creazione di blog e siti Web, trovare il giusto provider di hosting, e tutto ciò che si frappone. Per saperne di più...

3 Commenti

  1. Tom

    Tutto è risolto!
    Il problema è 100% fisso e wpDiscuz è sicuro.
    Puoi ignorarlo se hai già aggiornato a 7.0.5 o versione successiva (la versione attuale è 7.0.6).
    Questo è stato risolto e la nuova versione 7.0.5 è stato rilasciato una settimana fa. Non ci sono problemi con l'attuale versione di wpDiscuz. Suo 100% sicuro adesso.
    Questo tipo di problemi si verifica con quasi tutti i plugin di WordPress, quindi non c'è motivo di preoccuparsi se sei aggiornato e aggiornato.
    Continua ad aggiornare i tuoi plug-in e assicurati di utilizzare le versioni più recenti.

    Grazie!
    Sviluppatori wpDiscuz

    Replica
  2. Tom

    E alcuni numeri ...
    Di 50% degli utenti di wpDiscuz utilizza attualmente le versioni 7.x.x.. Riguarda 35,000 siti web.
    30,000 di loro sono già stati aggiornati per garantire 7.0.5 e versioni successive durante la scorsa settimana. E a proposito di 3,000 i siti web si aggiornano ogni giorno.
    Quindi in uno due giorni quasi certamente non ci sarà alcun sito web con un vecchio non sicuro 7.0.0 - 7.0.4 versioni e quasi tutti i siti web saranno aggiornati e sicuri.

    Replica
  3. HTH_Editors (Autore Post)

    Ciao,

    Grazie per essere passato! Ci auguriamo che tutti gli utenti del plugin lo abbiano già aggiornato, e nessuno è a rischio. Come hai detto: Continua ad aggiornare i tuoi plug-in e assicurati di utilizzare le versioni più recenti.

    Grazie,
    Il team di HowToHosting.guide

    Replica

Lascio un commento

L'indirizzo email non verrà pubblicato. i campi richiesti sono contrassegnati *

Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo
Su HowToHosting.Guide, offriamo recensioni trasparenti di web hosting, garantire l’indipendenza dalle influenze esterne. Le nostre valutazioni sono imparziali poiché applichiamo standard rigorosi e coerenti a tutte le recensioni.
Mentre potremmo guadagnare commissioni di affiliazione da alcune delle società presenti, queste commissioni non compromettono l'integrità delle nostre recensioni né influenzano le nostre classifiche.
I guadagni dell'affiliato contribuiscono a coprire l'acquisizione dell'account, spese di prova, Manutenzione, e lo sviluppo del nostro sito web e dei sistemi interni.
Affidati a howtohosting.guide per approfondimenti affidabili e sincerità sull'hosting.