12 milioni di siti WordPress a rischio per un bug su Elementor Pro

Redazione RHC : 2 Aprile 2023 11:28

Gli attori delle minacce stanno attivamente sfruttando una vulnerabilità di sicurezza recentemente corretta nel plug-in per la creazione di siti Web Elementor Pro per WordPress.

Si stima che il plug-in premium venga utilizzato su oltre 12 milioni di siti.

Il difetto, descritto come broken access control, ha un impatto sulle versioni 3.11.6 e precedenti. È stato risolto dai manutentori del plugin nella versione 3.11.7 rilasciata il 22 marzo.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“Migliorata l’applicazione della sicurezza del codice nei componenti di WooCommerce”, ha affermato la società con sede a Tel Aviv nelle sue note di rilascio. 

Lo sfruttamento riuscito del difetto ad alta gravità consente a un utente malintenzionato autenticato di completare un’acquisizione di un sito WordPress su cui è abilitato WooCommerce.

“Ciò consente a un utente malintenzionato di attivare la pagina di registrazione (se disabilitata) e impostare il ruolo utente predefinito su amministratore in modo da poter creare un account che abbia immediatamente i privilegi di amministratore”, ha affermato Patchstack in un avviso del 30 marzo, 2023.

“Dopo questo, è probabile che i malintenzionati reindirizzino il sito a un altro dominio dannoso o carichino un plug-in dannoso o una backdoor per sfruttare ulteriormente il sito”.

Il merito di aver scoperto e segnalato la vulnerabilità il 18 marzo 2023 è del ricercatore di sicurezza di NinTechNet Jerome Bruandet.

Patchstack ha inoltre notato che il difetto è attualmente oggetto di abusi da parte di diversi indirizzi IP che intendono caricare file di archivio PHP e ZIP arbitrari.

Si consiglia agli utenti del plug-in Elementor Pro di eseguire l’aggiornamento alla versione 3.11.7 o 3.12.0, che è l’ultima versione, il prima possibile per mitigare potenziali minacce.

La scorsa settimana, WordPress ha rilasciato aggiornamenti automatici per correggere un altro bug critico nel plug-in WooCommerce Payments che consentiva agli aggressori non autenticati di ottenere l’accesso come amministratore a siti vulnerabili.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.