Vulnerabilità Critica su alcuni firewall plugin di WordPress

Sicurezza Wordpress Minaccia Firewall

Anti-Malware Security e Brute-Force Firewall, plug.in popolari per la sicurezza di siti Web WordPress, sono affetti da una vulnerabilità di scripting incrociato (cross-scripting)  il cui sfruttamento consentirebbe ad alcuni hacker di compromettere gli utenti con privilegi di amministratore su piattaforme vulnerabili, inserendo nel sito alcune minacce.

I plug-ins interessat funzionano come firewall per bloccare le minacce alla sicurezza in arrivo e come scanner di sicurezza, in grado di controllare i siti Web per identificare backdoor, iniezioni SQL e altre varianti di attacchi informatici.

Lo strumento Anti-Malware Security e Brute-Force Firewall è installato su oltre 200.000 siti Web e presenta una versione a pagamento con opzioni di sicurezza aggiuntive.

Riguardo all’errore rilevato, è stato descritto come una vulnerabilità XSS riflessa in cui un sito Web WordPress non riesce a limitare adeguatamente gli elementi che possono essere inseriti nella piattaforma.

In questo caso, il plug-in lascia aperta la porta principale del sito Web, consentendo il caricamento di tutti i tipi di contenuti dannosi.

Gli attori delle minacce possono sfruttare questo difetto caricando uno script e facendo in modo che il sito web lo rifletta.

Quando un utente con autorizzazioni di amministratore sul sito Web visita un URL appositamente progettato per l’attacco, lo script viene attivato con le autorizzazioni memorizzate nel browser della vittima.

Il rapporto è stato presentato agli sviluppatori dell’app secondo gli standard della comunità di sicurezza informatica. La versione 4.20.96 di WordPress Anti-Malware Security e Brute-Force Firewall contiene una correzione per la vulnerabilità, quindi si consiglia agli utenti di aggiornare il prima possibile.

Le vulnerabilità XSS sono un rischio per la sicurezza.

Ti piace questo articolo: condividilo!

Articolo scritto da: Thomas Mancin, responsabile di Advertilo.
Specializzato in comunicazione aziendale, commerciale, medica e politica.
25 anni di esperienza nel settore del web marketing dell’advertising digitale e ricercatore sulla cybersecurity.