Vulnerabilità nel plugin WP Mobile Detector

Il 31 maggio 2016 è stata riportata una vulnerabilità del plugin WP Mobile Detector, che permette il caricamento arbitrario di file all’interno del server.

Se sei troppo pigro per leggere tutto l’articolo e hai questo plugin nel tuo sito, ti consiglio di aggiornarlo immediatamente, poiché contiene una patch che risolve in parte il problema. Sì, ho detto in parte, ma è meglio di niente.

La vulnerabilità: Arbitrary File Upload

Si tratta di una vulnerabilità piuttosto semplice da sfruttare e consiste nel fare una richiesta al file resize.php o timthumb.php (in questo caso non fa altro che includere resize.php) presenti nella directory del plugin con una backdoor URL.

Il problema è piuttosto triviale, in quanto non viene validato e sanitizzato l’input proveniente da fonti insicure, come è il parametro di una URL.

Trovate tutti i dettagli nel post di Sucuri.

Resta aggiornato sulle news più importanti!
Ogni mattina troverai le news da non perdere direttamente nella tua casella di posta.

Mattia Migliorini

Full Stack Web Developer e Consulente di Digital Marketing con formazione specifica in ambito e-commerce. Ama tenersi al passo con le tecnologie più recenti per offrire soluzioni sempre più semplici e potenti. È sempre pronto a mettere in discussione le proprie posizioni per ricercare nuove strategie creative.

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *