back to top

WordPress: pericoloso exploit per Elementor Pro

Con il rilascio della versione 6.2 di WordPress gli sviluppatori del CMS hanno compiuto un altro passo per l’integrazione nel core di funzionalità fino ad ora disponibili soltanto tramite l’uso di site builder con interfaccia visuale. Questi ultimi continuano però ad essere molto diffusi e tra di essi uno dei più popolari è sicuramente Elementor.

Di Elementor esistono due versioni: una gratuita che integra gli strumenti essenziali per la personalizzazione di un layout grafico per WordPress, spesso sufficienti per un progetto semiprofessionale, e una a pagamento, chiamata Elementor Pro, che offre diverse feature aggiuntive tra cui widget e template addizionali e supporto premium.

La release Pro verrebbe utilizzata oggi in non meno di 11 milioni di siti Web pubblicati online ma nelle ultime ore sarebbe stato segnalato un exploit in grado di mettere a rischio questi ultimi nel caso in cui presentino anche l’installazione di un altro popolare plugin di WordPress, WooCommerce, dedicato allo sviluppo di negozi di e-commerce.

Tale vulnerabilità sarebbe stata osservata nelle versioni 3.11.6 e precedenti e prenderebbe vita dal fatto che l’accesso a WooCommerce non sarebbe sottoposto ad alcun controllo. In questo modo un utenti malintenzionato potrebbe modificare le impostazioni del database, acquisire i privilegi di amministratore del CMS e inoculare un malware.

Tra gli incidenti già segnalati ve ne sarebbero alcuni in cui gli attaccanti avrebbero sfruttato l’exploit per redireazionare traffico verso pagine Web appositamente confezionate per l’installazione di backdoor. Si consiglia quindi di passare quanto prima alla versione 3.12.1 di Elementor Pro che è stata già patchata con i correttivi necessari ad evitare attacchi.

Pubblicità
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Leggi anche...

Il malware invisibile che colpisce i videogiocatori

Un recente studio di Check Point Research ha rivelato...

Winos4.0 sfrutta App di Gaming per controllare Windows

Alcuni cybercriminali starebbero sfruttando applicazioni legate ai videogiochi per...

FakeUpdate dei browser per installare il malware WarmCookie

Un nuovo attacco informatico basato sulla tecnica del FakeUpdate...

Chrome: scansione dei file contro i malware

Google Chrome, il browser Web più utilizzato al mondo,...

regreSSHion: i server OpenSSH sono vulnerabili

Stando a quanto riportato dagli esperti di sicurezza di...

AMD: perdita di dati a causa di un attacco?

Gli esperti di AMD starebbero conducendo delle indagini interne...
Pubblicità