È stata rilevata una grave falla di sicurezza nel plugin WP Maps Pro per WordPress. La vulnerabilità è attivamente sfruttata dagli aggressori per creare account amministratore sui siti web. Ciò consente di prendere il controllo totale della pagina, rubare dati o reindirizzare gli utenti verso siti fraudolenti. Se utilizzi questo plugin, devi aggiornarlo o disattivarlo immediatamente per evitare di perdere l'accesso al tuo sito.
Dettagli tecnici dello sfruttamento e patch disponibile 🛡️
La vulnerabilità risiede in una mancanza di validazione nelle richieste AJAX del plugin, che consente a un utente non autenticato di eseguire funzioni privilegiate. Tramite una richiesta malevola, è possibile creare un utente con ruolo di amministratore senza necessità di credenziali precedenti. Gli sviluppatori hanno rilasciato un aggiornamento di sicurezza che corregge il difetto. Si consiglia di applicare la patch o disattivare il plugin fino a quando non si confermi la corretta installazione.
Il plugin che regala un account admin a qualsiasi sconosciuto 😱
Sembra che WP Maps Pro abbia deciso di fare un favore agli hacker: aprire la porta del tuo sito senza chiedere. È come lasciare la chiave nella serratura di casa tua con un cartello che dice si accomodi. La cosa peggiore è che l'aggressore non ha nemmeno bisogno di essere un genio della programmazione; basta lanciare una richiesta e zac, ha già la sua scrivania di WordPress. Meno male che le mappe sono così utili, no?