Un nuovo caso di plug-in malevolo mette a rischio i siti Web basati sulla piattaforma WordPress, con numeri indeterminati sulla reale portata della minaccia ma la certezza dell’esistenza di attacchi condotti da ignoti cyber-criminali.
Il componente fallato si chiama FancyBox, plug-in pensato per la gestione delle immagini di un sito Web in stile lightbox; esso sarebbe affetto da una vulnerabilità di tipo Cross Site Scripting (XSS) precedentemente ignota. La vulnerabilità è stata usata per condurre attacchi tramite iframe malevoli provenienti dal dominio “203koko”.
La falla è stata identificata dai ricercatori russi Gennady e Konstantin Kovshenin e, a quanto pare, gli autori del plug-in non erano a conoscenza del problema. FancyBox è stato inizialmente rimosso dal repository dei plug-in WordPress, ed è stato riammesso solo dopo l’aggiornamento e l’eliminazione del bug.
Le versioni vulnerabili dell'estensione, già installate sui siti WordPress “live”, sono al momento sotto attacco o a rischio di attacco, avvertono i ricercatori. Il numero di potenziali vittime del bug XSS non risulta al momento quantificato a parte un generico “molti siti” Internet.
Via | The Register
/https://www.html.it/app/uploads/2024/03/WordPress.png)
/https://www.html.it/app/uploads/2024/03/domestika.jpg)
/https://www.html.it/app/uploads/2023/12/wordpress.png)
/https://www.html.it/app/uploads/2024/02/WP65.jpg)