Nuove vulnerabilità in alcuni plugin di WordPress sono state annunciate dal portale Wordfence che si occupa di cyber sicurezza.
Il primo è una backdoor scoperta nel plugin Content Type Manager. La backdoor è stato aggiunta da un codificatore malintenzionato che ha ottenuto l’accesso al codice del plugin nel repository plugin per WordPress ufficiali.
Non è chiaro se le credenziali dell’autore del plugin sono state rubate o se al medesimo è stato concesso l’accesso. Il team di sicurezza di WordPress ha rimosso l’account dell’utente malintenzionato che ha aggiunto la backdoor al plugin. E’ stato anche rimosso tutto il codice malevolo che è stato aggiunto al plugin e aggiornato il numero di versione in modo che agli utenti che utilizzano questo plugin verrà chiesto di eseguire l’aggiornamento.
Se si utilizza Custom Content Type Manager, è necessario installare la versione aggiornata non backdoored del plugin.
Il secondo è il plugin SP Projects and Document Manager 2.5.9.6 che ha diverse vulnerabilità SQL injection e XSS nell’upload di file e nell’esecuzione di codice. E’ necessario aggiornarlo immediatamente alla versione 2.6.1.1 con le correzioni.
Il terzo plugin è Easy Digital Download. Assicurarsi di aver aggiornato almeno alla versione 2.5.8 che risolve una vulnerabilità di iniezione oggetto. La versione attuale è 2.5.9.
(Fonte: wordfence.com)