Tag wordpress

authentication-by-pass bypass infinite-wp-client plugin wordpress wp-time-capsule 15/01/2020

WordPress: authentication bypass per i plugin “Infinite WP Client” e “WP Time Capsule”

I ricercatori di WebARX hanno scoperto che i plugin WP Client e WP Time Capsule contengono dei bug nella logica di autenticazione, permettendo il bypass di questa e l’accesso come amministratore senza la necessità di conoscere una coppia di credenziali valide.   Nel caso del plugin InfiniteWP Client, la logica di autenticazione valida lo username […]

DoS pingback wordpress xmlrpc 23/12/2019

WordPress XMLRPC Denial of Service

  Le versioni di WordPress inferiori alla 5.3.x sono vulnerabili ad un attacco DoS se l’intefaccia XMLRPC e i pingback sono abilitati. L’interfaccia XMLRPC è un’API che permette di automatizzare l’accesso ai contenuti di un sito WordPress e la sua gestione, essa presenta funzionalità che spesso permettono di abusarne ed è quindi consigliato disabilitarla. Roy […]

wordpress 13/12/2019

WordPress rilascia la versione 5.3.1

  WordPress ha rilasciato in data odierna un aggiornamento alla versione 5.3.1 del popolare CMS. Quest’ultima versione corregge bug di sicurezza e di usabilità. Aggiornamenti di Sicurezza Corretto un problema su l’API REST che consente ad un utente non privilegiato di inserire post; Corretto un problema che consentiva di inserire XSS in link predisposti ad hoc; […]

cve-2019-17671 Vulnerabilità wordpress 21/11/2019

Vulnerabilità nel Core WordPress versione 5.2.3

Il CERT-PA durante le attività di monitoraggio delle fonti osint, è venuto a conoscenza dell’esistenza di una vulnerabilità, indicata nel CVE-2019-17671 che affligge la versione 5.2.3 del popolare CMS (cfr. news del 05/09/2019), la quale consente, se sfruttata, la visualizzazione non autenticata di determinati contenuti protetti (post privati) poiché la proprietà della query statica non […]

Vulnerabilità wordpress 15/10/2019

WordPress rilascia nuovi aggiornamenti di sicurezza

Nella giornata di ieri, WordPress ha rilasciato un aggiornamento alla versione 5.2.4, quest’ultima risolve diversi bug tra cui: i payload di cross-site scripting (XSS) che potevano essere aggiunti tramite Customizer, la possibilità di visualizzare post non autenticati, un metodo per infettare la cache delle richieste JSON GET tramite l’intestazione Vary: Origin e problemi relativi alla […]

aggiornamenti wordpress 05/09/2019

Vulnerabilità XSS in WordPress corrette con la versione 5.2.3

  WordPress ha rilasciato la versione 5.2.3 che risolve numerose problematiche di sicurezza nel core del CMS. Nello specifico sono stati corretti 29 bug e apportati ulteriori miglioramenti. Le correzioni di sicurezza vanno a risolvere vulnerabilità di tipo cross-site scripting (XSS) individuate in alcuni componenti del CMS. Secondo le informazioni riportate sul security advisory pubblicato […]

Drupal Joomla Magento wordpress 20/08/2019

CMS vulnerabili presi di mira dalla botnet GoBrut

Gli ultimi mesi del 2019 sono stati caratterizzati da incrementi sostanziali nel numero di attacchi informatici registrati ai danni dei CMS open source più famosi (WordPress, Drupal e Joomla) da parte di GoBrut, una botnet attiva dall’inizio di quest’anno. Come evidenziato da un articolo sul blog di Yoroi, l’infrastruttura della botnet è stata recentemente aggiornata […]

malware Vulnerabilità wordpress 12/08/2019

Clipsa il malware che tenta di carpire le credenziali amministrative di WordPress

Dalle attività monitoraggio emerge che i ricercatori di AVAST hanno individuato un malware multiuso, denominato Clipsa, in grado di catturare password. Stando alle analisi svolte dai ricercatori si apprende che Clipsa, scritto in Visual basic, è specializzato per la cattura di credenziali e criptovalute e viene utilizzando per lanciare attacchi di forza bruta acquisendo credenziali […]

CMS php Security Update wordpress 09/05/2019

Aggiornamento WordPress 5.2 “Jaco”

È stata rilasciata la versione 5.2 del popolare CMS WordPress, nome in codice “Jaco”, in onore del noto e rivoluzionario bassista jazz Jaco Pastorius. La nuova versione include diversi aggiornamenti di sicurezza e nuove funzionalità come l’implementazione della firma digitale dei pacchetti di aggiornamento, due nuove pagine per aiutare a risolvere i problemi di configurazione […]