Redazione RHC : 18 Gennaio 2025 17:43
Una vulnerabilità nel plug-in W3 Total Cache, installato su oltre un milione di siti che eseguono WordPress, consente agli aggressori di accedere a varie informazioni, inclusi i metadati delle applicazioni cloud.
Il plug-in W3 Total Cache utilizza diversi metodi di memorizzazione nella cache e viene utilizzato per ottimizzare la velocità del sito, ridurre il tempo di caricamento della pagina e migliorare il posizionamento SEO.
La vulnerabilità scoperta ha ricevuto l’identificatore CVE-2024-12365. E sebbene gli sviluppatori del plugin abbiano già rilasciato una patch, centinaia di migliaia di siti non sono ancora aggiornati alla versione corretta.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Secondo gli specialisti di Wordfence, il problema si verifica a causa della mancanza del controllo dei diritti nella funzione is_w3tc_admin_page in tutte le versioni del plugin fino alla 2.8.2. Ciò ti consente di accedere al nonce del plugin ed eseguire azioni non autorizzate. Si sottolinea che un utente malintenzionato può sfruttare questa vulnerabilità se è autorizzato e dispone di diritti almeno a livello di abbonato, cosa che non è affatto difficile da fare.
Tra i principali rischi derivanti dallo sfruttamento di CVE-2024-12365, i ricercatori elencano:
Si consiglia vivamente agli amministratori di aggiornare il plugin alla versione 2.8.2, dove il problema è già stato risolto.
Attualmente, secondo le statistiche di wordpress.org, circa 150.000 siti hanno già installato l’aggiornamento, ma centinaia di migliaia di siti rimangono ancora vulnerabili.
RedazioneUna nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFinge...
Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...
Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...
