Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
HackTheBox 970x120 1
Banner Ancharia Mobile 1
Un plugin di WordPress, consente la cancellazione completa del sito web.

Un plugin di WordPress, consente la cancellazione completa del sito web.

16 Novembre 2021 07:21

I ricercatori di Patchstack hanno scoperto che una vulnerabilità nel plug-in WP Reset PRO consente agli aggressori autorizzati di cancellare completamente i contenuti dei siti vulnerabili.

Come suggerisce il nome, il plugin è stato creato proprio per questi scopi: può aiutare l’amministratore ad azzerare l’intero sito o delle sue parti per velocizzare il processo di debug e test.

Il bug è segnalato per interessare solo le versioni premium del plugin WP Reset, fino alla versione 5.98. Allo stesso tempo, la versione gratuita del plugin con codice open source ha più di 300.000 installazioni attive, secondo le statistiche del repository di WordPress, e se si crede al sito ufficiale, il numero di utenti supera le 400.000 persone.

Gli esperti spiegano che la vulnerabilità CVE-2021-36909 è legata alla mancanza di autorizzazione e verifica token, cioè può essere utilizzata da qualsiasi utente autenticato, inclusi gli utenti con privilegi bassi (come gli abbonati).

Per sfruttare il bug, è sufficiente utilizzare un parametro di query, ad esempio %% wp, per eliminare tutte le tabelle nel database con il prefisso wp. Un utente malintenzionato potrebbe quindi visitare la home page del sito, eseguire il processo di installazione di WordPress e creare il proprio account amministratore. L’account può essere utilizzato per scaricare plug-in dannosi o installare backdoor, affermano gli esperti.

Sebbene a prima vista la vulnerabilità sembri essere utile solo per scopi distruttivi, gli esperti di Patchstack hanno detto a Bleeping Computer che il problema può essere utilizzato per accedere ad altri siti sullo stesso server.

“Se c’è un vecchio sito dimenticato in una sottodirectory (lo vediamo spesso), dove è installato questo plugin e l’ambiente server è connesso, ti permette di accedere ad altri siti nello stesso ambiente. Questa vulnerabilità è di natura molto distruttiva”.

Attualmente, la vulnerabilità è già stata risolta dagli sviluppatori in WP Reset PRO versione 5.99 28. Il bug è stato corretto dopo 24 ore dal messaggio di Patchstack, aggiungendo controlli di autenticazione e autorizzazione al plugin.

Nell’ottobre 2021 un bug simile, che permette anche di cancellare i siti di altre persone, è stato trovato in un altro plugin di WordPress, ovvero Hashthemes Demo Importer.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Cropped RHC 3d Transp2 1766828557 300x300
La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.

Articoli in evidenza

Immagine del sitoVulnerabilità
Arriva Chronomaly: un PoC per Linux che promette Privilege Escalation su Kernel a 32 bit
Redazione RHC - 09/01/2026

Una falla di sicurezza è stata individuata all’interno di Linux, la quale può essere sfruttata in un brevissimo lasso di tempo, tant’è che il kernel comincia subito a operare con la memoria precedentemente rilasciata. Un…

Immagine del sitoCultura
9 Gennaio 2007 nasce l’iPhone: Il giorno in cui il futuro è diventato tascabile
Gaia Russo - 09/01/2026

San Francisco: 9 gennaio 2007 L’aria aveva qualcosa di strano, come quando sai che sta per succedere qualcosa ma non sai cosa. Steve Jobs era sul palco del Macworld Conference & Expo, jeans, dolcevita nero,…

Immagine del sitoCyberpolitica
Agcom multa Cloudflare: sanzione da oltre 14 milioni per violazione delle norme antipirateria
Redazione RHC - 09/01/2026

L’Autorità per le garanzie nelle comunicazioni italiana ha inflitto a Cloudflare Inc. una sanzione amministrativa superiore ai 14 milioni di euro per mancato rispetto della normativa italiana contro la pirateria online. Il provvedimento è stato…

Immagine del sitoCybercrime
L’Iran spegne Internet, ma le piazze esplodono: è rivolta aperta
Redazione RHC - 09/01/2026

I manifestanti iraniani hanno gridato e marciato per le strade fino a venerdì mattina, dopo l’appello dell’ex principe in esilio Reza Pahlavi a manifestare, nonostante la teocrazia iraniana abbia isolato il Paese da Internet e…

Immagine del sitoCybercrime
Codici QR dannosi: la nuova frontiera del phishing passa dall’HTML
Redazione RHC - 08/01/2026

Sappiamo che i criminal hacker riescono sempre a sorprenderci, e anche questa volta ci stupiscono per le innovazione e i modi che inventano per poter superare gli ostacoli, come i filtri di antispam. I criminali…