Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Esiste una vulnerabilità RCE critica in Essential Addons per Elementor, un popolare plug-in WordPress (versione 5.0.4 e precedenti) utilizzato in oltre un milione di siti Web.
La vulnerabilità consente a un utente non autorizzato di iniettare (inclusione di file) un file locale, come PHP, per eseguire codice arbitrario sul sito.
Gli esperti di PatchStack che hanno scoperto il problema spiegano che il bug è correlato alle funzioni ajax_load_more e ajax_eael_product_gallery.
Ovvero, condizione necessaria per l’attacco è la presenza sul sito di widget di gallery dinamiche e product gallery, in modo che non ci sia controllo dell’assenza di un token.
La vulnerabilità è stata identificata il 25 gennaio 2022, ma a quel punto gli sviluppatori del plugin erano già a conoscenza della sua esistenza. Inizialmente hanno rilasciato la versione 5.0.3 per risolvere il problema applicando sanitize_text_field all’input dell’utente.
Tuttavia, questo non ha aiutato e un secondo tentativo di correggere il bug è stato introdotto nella versione 5.0.4, in cui è stato utilizzato sanitize_file_name, nonché la rimozione di caratteri speciali.
Purtroppo, anche la seconda correzione non ha funzionato e alla fine, con l’aiuto degli esperti di PatchStack, è stata rilasciata la versione 5.0.5, che ha implementato la funzione PHP realpath, che impedisce risoluzioni dannose dei percorsi.
La versione corretta, secondo le statistiche ufficiali, è stata installata circa 380.000 volte. Ciò significa che 600.000 siti sono ancora vulnerabili e i loro operatori non hanno ancora installato patch.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
L’Open Source Intelligence (OSINT) è emersa, negli ultimi anni, come una delle discipline più affascinanti, ma anche più insidiose, nel panorama dell’informazione e della sicurezza. La sua esse...
La psicologia delle password parte proprio da qui: cercare di capire le persone prima dei sistemi. Benvenuti in “La mente dietro le password”, la rubrica che guarda alla cybersecurityda un’angol...
Le estensioni del browser sono da tempo un modo comune per velocizzare il lavoro e aggiungere funzionalità utili, ma un altro caso dimostra con quanta facilità questo comodo strumento possa trasform...
Una nuova versione, la 8.8.9, del noto editor di testo Notepad++, è stata distribuita dagli sviluppatori, risolvendo una criticità nel sistema di aggiornamento automatico. Questo problema è venuto ...
Questa non è la classica violazione fatta di password rubate e carte di credito clonate.È qualcosa di molto più delicato. Il data breach che ha coinvolto Pornhub nel dicembre 2025 rappresenta uno d...
