Un’altra vulnerabilità Zero-Day colpisce un Plugin WordPress

Nelle scorse ore è stato lanciato l’allarme della scoperta di una vulnerabilità critica su uno dei più popolari e utilizzati plugin per la piattaforma WordPress. Il plugin colpito dal bug Zer-Day, si chiama FancyBox e viene utilizzato su centinaia di miglia di siti web a livello mondiale e ovviamente tutti basati sul CMS WordPress.

Zero-Day in FancyBox per WordPress

Falla Zero-Day in FancyBox per WordPress

I ricercatori della società Sucuri ha rilasciato l’avviso sulla presenza della vulnerabilità Zero-Day nel plugin FancyBox nella giornata di Mercoledì, avvisando che le persone malintenzionate o meglio definite cracker, sfruttando questo bug possono arrivare a colpire ed infettare moltissimi portali.

Secondo alcune statistiche e alcuni numeri, pare che un totale di circa mezzo milione di siti web utilizza il plugin FancyBox. Questo plugin ha lo scopo di visualizzare immagini, contenuti HTML e diversi altre tipologie di file multimediale all’interno di una lightbox.

Come funziona la falla nel plugin FancyBox?

Il bug scoperto in FancyBox da la possibilità all’attaccante di iniettare un iframe maglino oppure un qualsiasi script/content. In questo modo, l’utente viene poi reindirizzato sul sito web 203koko.

Daniel Cid, il fondatore e il chief technology officer della società Sucuri, ha dichiarato le seguenti cose. In primis ha detto che i vari siti analizzati e su cui era presente il bug, tutti quanti contenevano l’iframe 203koko, iniettato nel sito della vittima.
Dopo aver scoperto il problema, Daniel, ha mandato subito un advisory e ha messo in guardia tutti quanti. Questo ha fatto si che il plugin FancyBox fosse sospeso temporaneamente rimosso dalla Directory Plugin della piattaforma WordPress.

In più, Daniel e il suo team di ricercatori, hanno consigliato gli utenti, gli sviluppatori della piattaforma WordPress e i vari programmatori, di rimuovere il plugin FancyBox definitivamente. Questo perché il plugin non riceve più un aggiornamento da oltre 2 anni ed è diventato una costante minaccia per la sicurezza di tutta la piattaforma e soprattutto per chi decide di utilizzarlo.

Soluzioni al Problema?

La soluzione è arrivata oggi, cioè Giovedì, con il rilascio di due nuove versioni per il plugin FancyBox, rilasciate proprio dagli sviluppatori. In questo modo la release 3.0.3 e la release 3.0.4, vanno a risolvere la falla Zero-Day scoperta dai ricercatori della società Sucuri. Qua trovate il changelog completo di tutti gli aggiornamenti di FancyBox ricevuti fino ad oggi.

Quindi se avete il plugin FancyBox, cercate di aggiornalo al più presto, se non volte finire tra i circa 30.000 siti violati al giorno dai cracker.

Per il momento questo è tutto, voi contenute a seguirci da vicino per altre notizie sulla sicurezza.

Seguiteci anche su Facebook, Google Plus, Tumblr e Twitter, per restare sempre in contatto con noi e con le nostre guide.

VIA: TheHackerNews



Cerca

Seguici

Live da Facebook
Live da Twitter
Seguici su Telegram
Canale InsiDevCode Telegram