Close Menu
    Facebook X (Twitter) Instagram
    Gossip Italiano
    • Casa
    • Notizie principali
    • Mondo
    • Economia
    • Tecnologia
    • Sport
    • Divertimento
    • Scienza
    • Modulo di Contatto
    Gossip Italiano
    Home»Tecnologia»Milioni di siti WordPress ricevono un aggiornamento forzato per correggere un ulteriore difetto nei plugin
    Tecnologia

    Milioni di siti WordPress ricevono un aggiornamento forzato per correggere un ulteriore difetto nei plugin

    Federico CarusoBy Federico CarusoFebbraio 19, 2022Nessun commento4 Mins Read
    Facebook Twitter Pinterest LinkedIn Tumblr Email
    Milioni di siti WordPress ricevono un aggiornamento forzato per correggere un ulteriore difetto nei plugin
    Share
    Facebook Twitter LinkedIn Pinterest Email
    Milioni di siti WordPress ricevono un aggiornamento forzato per correggere un ulteriore difetto nei plugin

    Getty Images

    Milioni di siti WordPress hanno ricevuto un aggiornamento forzato nell’ultimo giorno per correggere una vulnerabilità critica in un plug-in chiamato UpdraftPlus.

    La patch obbligatoria è arrivata su richiesta degli sviluppatori UpdraftPlus a causa della gravità della vulnerabilità, consentendo agli abbonati, ai clienti e ad altri non attendibili di scaricare il database del sito purché dispongano di un account sul sito compromesso. I database spesso contengono informazioni riservate sui clienti o sulle impostazioni di sicurezza del sito, lasciando milioni di siti vulnerabili a gravi violazioni dei dati che perdono password, nomi utente, indirizzi IP e altro ancora.

    Brutti risultati, facili da sfruttare

    UpdraftPlus semplifica il processo di backup e ripristino dei database dei siti Web ed è il plug-in di pianificazione online più utilizzato per il sistema di gestione dei contenuti di WordPress. Semplifica il backup dei dati su Dropbox, Google Drive, Amazon S3 e altri servizi cloud. I suoi sviluppatori affermano anche che consente agli utenti di pianificare backup regolari ed è più veloce e utilizza meno risorse del server rispetto ai plug-in WordPress concorrenti.

    “Questo bug è molto facile da sfruttare, con alcuni pessimi risultati se viene sfruttato”, ha affermato Mark Monpass, il ricercatore di sicurezza che ha scoperto la vulnerabilità e ha informato gli sviluppatori di plugin. “Ha consentito agli utenti con privilegi bassi di scaricare i backup dei siti, che includono backup di database non elaborati. Gli account con privilegi bassi possono significare molte cose. Abbonati regolari, clienti (sui siti di e-commerce, ad esempio), ecc.”.

    Monpass, un ricercatore della società di sicurezza dei siti Web Jet, ha affermato di aver scoperto la vulnerabilità durante un audit di sicurezza del plug-in e di aver fornito dettagli agli sviluppatori di UpdraftPlus martedì. Il giorno dopo, gli sviluppatori hanno pubblicato una correzione e hanno deciso di forzarne l’installazione su siti WordPress su cui era installato il plug-in.

    Annunci

    Statistiche fornite da WordPress.org mostrare Giovedì 1,7 milioni di siti hanno ricevuto l’aggiornamento e più di 287.000 altri lo avevano installato al momento della stampa. WordPress afferma che il plug-in ha più di 3 milioni di utenti.

    Nel rivelare la vulnerabilità giovedì, UpdraftPlus libri:

    Questo difetto consente a qualsiasi utente connesso a un’installazione di WordPress con un UpdraftPlus attivo di esercitare il privilegio di scaricare un backup esistente, un privilegio che dovrebbe essere limitato solo agli utenti amministrativi. Ciò è stato possibile a causa della perdita delle autorizzazioni per il controllo del codice relativo al controllo dello stato corrente del backup. Ciò ha consentito di ottenere un identificatore interno altrimenti sconosciuto che potrebbe quindi essere utilizzato per superare il processo di verifica sull’autorizzazione al download.

    Ciò significa che se il tuo sito WordPress consente agli utenti non attendibili di accedere a WordPress e se disponi di un backup esistente, è probabile che tu sia vulnerabile a un utente tecnicamente esperto che sta cercando di scaricare il backup corrente. I siti interessati sono a rischio di perdita/furto di dati da parte di un utente malintenzionato che accede a una copia del backup del tuo sito, se il tuo sito contiene qualcosa che non è pubblico. Dico “tecnicamente esperto” perché a quel punto non è stata fornita alcuna prova generale su come sfruttare questo exploit. In questo momento, ti affidi a un hacker che sta effettuando il reverse engineering delle modifiche nell’ultima versione di UpdraftPlus per risolvere questo problema. Tuttavia, non dovresti assolutamente fare affidamento su questa questione che richiede tempo, ma aggiorna immediatamente. Se sei l’unico utente del tuo sito WordPress, o se tutti i tuoi utenti sono fidati, non sei a rischio, ma ti consigliamo comunque di aggiornare in ogni caso.

    Federico Caruso

    Federico Caruso è autore per Gossipitaliano.net e si occupa di seguire l’attualità con un approccio chiaro, accurato e orientato ai lettori. Scrive su temi che spaziano dalle notizie di cronaca e politica al business, dalla tecnologia allo sport, fino all’intrattenimento e al lifestyle. Il suo obiettivo è offrire informazioni affidabili, spiegazioni comprensibili e approfondimenti sui fatti e sulle storie che hanno un impatto concreto sulla vita quotidiana e sull’interesse del pubblico.

    Share. Facebook Twitter Pinterest LinkedIn Tumblr Email

    Articoli correlati

    Due fisici italiani risolvono un problema aperto da oltre dieci anni grazie al supporto dell’intelligenza artificiale

    Luglio 11, 2026

    Gemini, così si crea un clone AI fotorealistico con la nuova funzione avatar di Google

    Maggio 23, 2026

    macOS 27: Apple corregge i problemi di Liquid Glass e migliora l’esperienza grafica

    Maggio 11, 2026
    Leave A Reply Cancel Reply

    • riguardo a noi
    • Modulo di Contatto
    • DMCA
    • Politica Editoriale
    • politica sulla riservatezza
    • Gossip Italiano – News, Celebrità e Tendenze
    © 2026 Gossip Italiano. All rights reserved.

    Type above and press Enter to search. Press Esc to cancel.