23 Maggio 2013
HomeSicurezzaSicurezzaWordPress: nuove vulnerabilità in alcuni plugin

WordPress: nuove vulnerabilità in alcuni plugin

By  Sicurezza  0 Comments

sql_injection

Scoperte nuove vulnerabilità in alcuni dei più popolari plugin per WordPress:

Livello di pericolo: Basso
Presenza di correzioni: Sì
Numero di vulnerabilità: 1

CVE ID: CVE-2013-3258
Operazione effettuata da: remoto
Impatto: Cross Site Scripting

Prodotti interessati: WordPress Digg Digg Plugin 5.x

Versioni interessate: WordPress Digg Digg 5.3.4 e precedenti

Descrizione:

Il bug viene sfruttato per condurre attacchi XSS.

La vulnerabilità è dovuta ad una mancanza di autenticazione di richieste HTTP, ciò può produrre un attacco CSRF e manipolare le impostazioni del plugin.

URL Produttore: http://wordpress.org/plugins/digg-digg/

Soluzione: aggiornamento alla versione 5.3.5 servendosi del sito web del produttore.

==========

Livello di pericolo: Medio
Presenza di correzioni: Sì
Numero di vulnerabilità: 1

CVE ID: CVE-2013-3478
Operazione effettuata da: remoto
Impatto: modifica non autorizzata dei dati

Prodotti interessati: WordPress Video Gallery Plugin 1.x
WordPress Video Gallery Plugin 2.x

Versioni interessate:
WordPress Video Gallery 1.6, e precedenti
WordPress Video Gallery 2.0 e precedenti

Descrizione:

La vulnerabilità permette ad un utente remoto di eseguire comandi SQL arbitrari nel database dell’applicazione.

La vulnerabilità è causata da una mancanza di elaborazione dei dati di input del parametro “playid” nella index.php (quando il parametro “page_id” è la pagina[VideoHome], e “more” è uguale a “category”). Questo può essere sfruttato per eseguire comandi SQL arbitrari nel database dell’applicazione.

URL Produttore: http://wordpress.org/plugins/contus-video-gallery/

Soluzione: Installare l’ultima versione 2.1 del produttore.

==========

  • Attacco CSRF in Related Posts per WordPressLivello di pericolo: Basso
    Presenza di correzioni: Sì
    Numero di vulnerabilità: 1CVE ID: CVE-2013-3257
    Operazione effettuata da: remoto
    Impatto: Cross Site Scripting
    Prodotti interessati: WordPress Related Posts Plugin 2.x
    Versioni interessate: WordPress Related Posts 2.7.1e precedentiDescrizione:Il bug viene sfruttato per condurre attacchi XSS.La vulnerabilità è dovuta ad una mancanza di autenticazione di richieste HTTP, ciò può produrre un attacco CSRF e manipolare le impostazioni del plugin.

    URL Produttore: http://wordpress.org/plugins/wordpress-23-related-posts-plugin/

    Soluzione: aggiornamento alla versione 2.7.2 con il sito web del produttore.

 

Tags:, , , ,

Related Posts

About Author

amvinfe

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Privacy Policy - Personalizza tracciamento pubblicitario