Redazione RHC : 1 Marzo 2024 16:43
È stata scoperta una vulnerabilità nel popolare plugin LiteSpeed Cache per WordPress che consente agli utenti non autorizzati di aumentare i propri privilegi. LiteSpeed Cache viene utilizzato per migliorare le prestazioni del sito Web e conta oltre cinque milioni di installazioni.
L’errore ha ricevuto l’identificatore CVE-2023-40000 ed è stato corretto nell’ottobre 2023 nella versione del plugin 5.7.0.1. “Il plugin soffre di problematiche XSS stored non autenticati e consente a qualsiasi utente non autenticato di rubare informazioni sensibili o aumentare i privilegi su un sito WordPress con una sola richiesta HTTP”, secondo Patchstack, che ha scoperto il problema.
Secondo loro, CVE-2023-40000 si verifica a causa di un’insufficiente sanificazione dell’input dell’utente. La causa del bug risiede nella funzione update_cdn_status() che può essere sfruttato nelle installazioni con impostazioni predefinite.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“Poiché il payload XSS viene inserito come notifica amministrativa e tale notifica può essere visualizzata su qualsiasi endpoint wp-admin, la vulnerabilità può essere facilmente sfruttata anche da qualsiasi utente con accesso a wp-admin”, aggiungono gli esperti.
Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...
Un insolito esempio di codice dannoso è stato scoperto in un ambiente informatico reale , che per la prima volta ha registrato un tentativo di attacco non ai classici meccanismi di difesa, ma dir...
Prendi una Fiat Panda seconda serie del 2003, con 140.000 km sul groppone, il classico motore Fire 1.1, e nessuna dotazione moderna. Ora immagina di trasformarla in una specie di Cybertruck in miniatu...
Un nuovo annuncio pubblicato sulla piattaforma underground XSS.is rivela la presunta vendita di un accesso compromesso ai server di una web agency italiana ad alto fatturato. A offrire ...
L’Azienda Ospedaliera Antonio Cardarelli di Napoli ha diramato un avviso urgente alla cittadinanza, segnalando una truffa che sta circolando tramite SMS. Numerosi cittadini hanno riportato di a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006