Su questa pagina: [nascondere]
Sono state segnalate due vulnerabilità in Page Builder da SiteOrigin, che è un plugin WordPress molto popolare installato su più di 1 milioni di siti web.
I difetti di sicurezza sono descritti come "Richieste di falsificazione cross-site per scripting cross-site riflessi". Potrebbero consentire agli aggressori di creare richieste per conto dell'amministratore del sito per eseguire codice dannoso nel browser dell'amministratore, dì il team di Wordfence sulle informazioni sulle minacce.
Come possono essere sfruttate le vulnerabilità di Page Builder by SiteOrigin?
Al fine di sfruttare le due vulnerabilità, un utente malintenzionato dovrebbe ingannare l'amministratore del sito per eseguire un'azione specifica, come fare clic su un collegamento o un allegato. La buona notizia è che, dopo che Wordfence ha contattato lo sviluppatore del plug-in, una patch è stata rapidamente rilasciata.
ciò nonostante, le vulnerabilità sono considerate ad alto rischio in quanto possono portare all'acquisizione di un sito completo, se è rimasto senza patch. Al fine di evitare compromessi, Gli amministratori del sito web sono invitati a patchare il plug-in Page Builder all'ultima versione, che attualmente è la versione 2.10.16.
Ulteriori informazioni su Page Builder di SiteOrigin
Questo è un plugin progettato per semplificare la modifica di pagine e post in WordPress. Con esso, gli utenti possono creare reattivo, contenuto basato su colonne, con l'aiuto di widget di WordPress e widget del plug-in Bundle SiteOrigin Widgets.
Inoltre, il plugin presenta anche un editor live integrato, che aiuta gli utenti ad aggiornare il contenuto e trascinare / rilasciare i widget, e osserva i cambiamenti in tempo reale.
In conclusione, sono state scoperte due vulnerabilità di sicurezza ad alto rischio nel plug-in Page Builder by SiteOrigin che ha consentito agli aggressori di creare richieste per conto di un amministratore del sito. Ciò potrebbe quindi portare all'esecuzione di codice dannoso nel browser dell'amministratore. per fortuna, i due difetti sono stati risolti e corretti nella versione Page Builder 2.10.16. La raccomandazione generale è che gli utenti aggiornino immediatamente all'ultima versione del plugin.
La divulgazione tecnica completa delle vulnerabilità è a disposizione.
Leggi anche Il critico Zero-Day nel plug-in Elementor Pro mette a rischio i siti WordPress 1M