Listino Supporto Partner Contatti 800 13.40.41

Articoli

Icona delle News


WordPress: riscontrata vulnerabilità in Easy WP SMTP

Consigliamo l’aggiornamento alla nuova versione del plugin 1.3.9.1

26/03/19 gatti News

Nei giorni scorsi, due aziende di cyber-sicurezza hanno riscontrato alcuni attacchi hacker basati sulla vulnerabilità zero-day che si trova in un plugin molto popolare: Easy WP SMTP.

Questo plugin ha oltre 300.000 installazioni, pertanto sono molti gli utenti a rischio!

Secondo Defiant, gli attacchi sfruttavano la funzione di esportazione/importazione delle impostazioni che è stata aggiunta al plugin Easy WP SMTP nella versione 1.3.9. Gli hacker hanno trovato un errore nel codice che permetteva loro di modificare le impostazioni generali di un intero sito… e non solo quelle relative al plugin!

Alcuni attacchi hanno preso di mira l’opzione “wp_user_roles” che controlla le autorizzazioni dell’utente sui siti WordPress.

Grazie a questa vulnerabilità, gli hacker sono riusciti a registrare nuovi account che sembravano normali utenti WordPress ma, in realtà, con autorizzazioni e capacità di un account amministratore.

Il problema è stato segnalato all’autore di Easy WP SMTP, che ha corretto lo zero-day con il rilascio della nuova versione 1.3.9.1.

Oltre all’aggiornamento del plugin, si raccomanda il controllo della sezione “Utenti” e la verifica di eventuali nuovi iscritti.


Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft