Casa > Sicurezza web > Comments – wpDiscuz WordPress Plugin Contains Critical Vulnerability - IT

Commenti - Il plugin WordPress di wpDiscuz contiene una vulnerabilità critica - IT


Una vulnerabilità critica è stata scoperta nei commenti - plugin WordPress di wpDiscuz che è stato installato su più di 80,000 siti. La vulnerabilità è già stata risolta.

Le versioni interessate del plug-in includono le versioni 7.0.0 - 7.0.4. Secondo i ricercatori di Wordfence, la vulnerabilità consentiva agli autori di attacchi non autenticati di caricare file arbitrari, compresi i file PHP, eseguendo così l'esecuzione di codice in modalità remota sul server del sito vulnerabile.

Dopo aver contattato gli sviluppatori del plug-in, i ricercatori hanno fornito dettagli completi sulla divulgazione, e alla fine fu resa disponibile una patch. I siti interessati devono essere aggiornati alla versione 7.0.4 dei commenti - plugin wpDiscuz per evitare qualsiasi compromesso.

Ulteriori informazioni sui commenti - Vulnerabilità legata al plug-in wpDiscuz

La vulnerabilità, descritto come caricamento di file arbitrario, è stato introdotto nell'ultimo aggiornamento della versione principale del plug-in, Dice Wordfence. Al difetto è stato assegnato un punteggio CVSS di 10, rendendolo estremamente critico in quanto potrebbe provocare attacchi di esecuzione di codice in remoto sul server del sito interessato. Proprietari di siti che eseguono qualsiasi versione da 7.0.0 per 7.0., dovrebbe prendere in considerazione l'aggiornamento alla versione patchata, 7.0.5, il prima possibile.

wpDiscuz, che è stato installato su migliaia di siti WordPress, è un plugin per aree di commento reattivo. Il plugin è progettato per consentire agli utenti di discutere argomenti e personalizzare i loro commenti con l'aiuto di un editor di testi. Nelle ultime versioni 7.x.x del plug-in, gli sviluppatori hanno aggiunto la possibilità di includere allegati di immagini nei commenti caricati sul sito specifico. Questa nuova aggiunta, però, non aveva adeguate protezioni di sicurezza, creando così il problema critico.


Leggi anche Unsplash Plugin per WordPress: Perfetta integrazione per tutti i siti Web


Va notato che i commenti di wpDiscuz sono progettati con l'intenzione di consentire solo gli allegati alle immagini. “però, a causa delle funzioni di rilevamento del tipo mime di file utilizzate, la verifica del tipo di file potrebbe essere facilmente ignorata, consentendo agli utenti non autenticati la possibilità di caricare qualsiasi tipo di file, compresi i file PHP,” Wordfence spiega.

All'inizio di questo mese, lo stesso team di ricercatori sulla sicurezza ha segnalato una vulnerabilità in un altro plugin di WordPress. Il Plugin WordPress KingComposer è stato riscontrato che contiene diverse vulnerabilità che potrebbero portare al controllo dell'accesso su siti compromessi. Il plugin è stato installato su più di 100,000 siti. I ricercatori hanno scoperto uno scripting cross-site riflesso senza patch (XSS) difetto nel plugin KingComposer, identificato come CVE-2020-15299.

3 Commenti

  1. AvatarTom

    All is fixed!
    The problem is 100% fixed and wpDiscuz is safe.
    You can ignore this if you’ve already updated to 7.0.5 o versione successiva (current version is 7.0.6).
    This was fixed and the new version 7.0.5 was released a week ago. There is not any issues with current wpDiscuz version. It’s 100% secure now.
    This kind of issues happens with almost all WordPress plugins, so there is no reason to worry if you’ve updated and up to date.
    Just keep updating your plugins and make sure you’re using the latest versions.

    Grazie!
    wpDiscuz Developers

    Replica
  2. AvatarTom

    And some numbers…
    Di 50% of wpDiscuz users are currently using 7.x.x versions. It’s about 35,000 siti web.
    30,000 of them have already updated to secure 7.0.5 and higher versions during last week. And about 3,000 websites are updating every day.
    So in one two days there almost certainly won’t be any website with old unsecure 7.0.0 - 7.0.4 versions and almost all websites will be up to date and safe.

    Replica
  3. HTH_EditorsHTH_Editors (Autore Post)

    Ciao,

    Thank you for stopping by! We hope that all users of the plugin have already updated it, and no one is at risk. Like you said: Just keep updating your plugins and make sure you’re using the latest versions.

    Grazie,
    HowToHosting.guide’s team

    Replica

Lascio un commento

L'indirizzo email non verrà pubblicato. i campi richiesti sono contrassegnati *