Il plugin AMPforWP per WordPress espone il sito ad attacchi

Oggi torniamo a parlare di WordPress, la piattaforma software di “personal publishing” e content management system (CMS) open source che sta avendo sempre più diffusione nel mondo grazie alla sua semplicità di utilizzo e grazie ai suoi plugin che permettono praticamente di fare tutto.

Ed oggi vogliamo parlarvi proprio di un problema legato alla vulnerabilità di un plugin molto usato in wordpress, il plugin si chiama AmpforWP e permette di far navigare i vostri utenti in modalità AMP, vale a dire una velocità “superiore” delle vostre pagine se consultate da dispositivi mobili.

Il plugin AMP for WP espone il sito ad attacchi e all’iniezione di codice malevolo

Come già detto in premessa è stato scoperto un problema sul famoso plugin per wordpress chiamato AmpForWp. A scoprirlo è stato un ricercatore, tale Sybre Waaijer, che tra le altre cose è uno degli sviluppatori del noto plugin. Il ricercatore ha scoperto che AMP for WP non effettuava alcun controllo sui privilegi associati a ciascun account: per i meno esperti della materia ciò equivale a dire che un qualsiasi utente iscrittosi sulla piattaforma WordPress, poteva sfruttare la vulnerabilità insita nel plugin per svolgere una serie di operazioni amministrative senza averne alcun titolo.

A tal proposito è stato pubblicato anche un video su Youtube che dimostra la criticità:

Nella dimostrazione video pubblicata viene mostrato dai tecnici come sia possibile agire sul sito WordPress a partire proprio dal plugin.

Come risolvere il problema?

Il problema si risolve semplicemente aggiornando il plugin all’ultima versione, vale a dire la 0.9.97.20. Per tutti quelli che utilizzano WordPress sui propri siti web, quindi, conviene subito entrare nell’area amministrativa ed aggiornare il plugin qualora non lo abbiate ancora fatto.




Rispondi

Notificami per e-mail

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.