Se sul vostro sito WordPress avete installato i plugin Ultimate Addons per Elementor o Beaver Builder aggiornate quanto prima.
Se siete interessati agli aggiornamenti potreste mettere un piace alla nostra pagina Facebook o iscrivervi alle notifiche di questo sito web.
Di seguito riportiamo le vulnerabilità note ad oggi a partire dall’inizio di dicembre 2019, se nel vostro sito web WordPress sono installati e attivi questi plugin, vi consigliamo di aggiornare immediatamente, per ogni plugin affetto da qualche vulnerabilità nota, indichiamo anche la soluzione o la versione del plugin in cui è stato risolto il problema di sicurezza segnalato.
Plugin: Photo Gallery – Image Gallery by Ape <= 2.0.6
Tipo: Authenticated Arbitrary Plugin Deactivation
Soluzione: Aggiornare alla versione 2.0.7 o successiva
Plugin: GDPR Cookie Compliance <= 4.0.2
Tipo: Authenticated Settings Reset
Soluzione: Aggiornare alla versione 4.0.3 o successiva
Plugin: bbPress Members Only <= 1.2.1
Tipo: CSRF on Optional Settings page
Soluzione: Aggiornare alla versione 1.3.1 o successiva
Plugin: bbPress Login Register Links On Forum Topic Pages <= 2.7.5
Tipo: CSRF to Stored XSS
Soluzione: Aggiornare alla versione 2.8.5 o successiva
Plugin: Featured Image from URL <= 2.7.7
Tipo: Missing Access Controls on REST routes
Soluzione: Aggiornare alla versione 2.7.8 o successiva
Plugin: Rencontre <= 3.2.2
Tipo: Multiple CSRF
Soluzione: Aggiornare alla versione 3.2.3 o successiva
Plugin: 301 Redirects – Easy Redirect Manager <= 2.40
Tipo: Authenticated Arbitrary Redirect Injection and Modification, XSS, e CSRF
Soluzione: Aggiornare alla versione 2.45 o successiva
Plugin: Quiz And Survey Master < 6.3.5
Tipo: Authenticated Reflected XSS
Soluzione: Aggiornare alla versione 6.3.5 o successiva
WordPress Core: WordPress <= 5.3
Tipo: Stored XSS
Tipo: Improper Access Controls – Un utente senza particolari privilegi può far apparire un post in evidenza (sticky post) utilizzando le API REST.
Soluzione: In base alle versione di WordPress utilizzata aggiornare all’ultima versione disponibile corrispondente.
Tema: ListingPro – WordPress Directory Theme <= 2.0.14.2
Tipo: Reflected & Persistent XSS
Soluzione: Aggiornare alla versione 2.0.14.5 o successiva
Tema: Superlist <= 2.9.2 – Superlist – Directory WordPress Theme
Tipo: Stored Cross-Site Scripting (XSS)
Soluzione: non ancora nota
Plugin: Ultimate Addons for Beaver Builder <= 1.24.0
Tipo: Authentication Bypass – permette a utenti malintenzionati di autenticarsi come qualunque altro utente del sito web a causa di mancati controlli quando il login viene effettuato via Facebook o Google.
Soluzione: Aggiornare alla versione 1.24.1 o successiva
Plugin: Ultimate Addons for Elementor <= 1.20.0
Tipo: Authentication Bypass – permette a utenti malintenzionati di autenticarsi come qualunque altro utente del sito web a causa di mancati controlli quando il login viene effettuato via Facebook o Google.
Soluzione: Aggiornare alla versione 1.20.1 o successiva
Plugin: CSS Hero <= 4.03
Tipo: Authenticated Reflected XSS
Soluzione: Aggiornare alla versione 4.0.7 o successiva
Plugin: Scoutnet Kalender <= 1.1.0
Tipo: Stored Cross-Site Scripting (XSS)
Soluzione: al momento il problema non è risolto!
Se vuoi avere maggiori informazioni e saperne un po’ di più puoi leggere il nostro articolo sui 5 principali tipi di attacco ad un sito web
SERVE AIUTO?
CONTATTACI