Il plug-in Slimstat è affetto da una grave vulnerabilità di sicurezza, un problema potenzialmente in grado di compromettere seriamente un sito Web basato su WordPress. Significativo il numero di installazioni a rischio.
La falla riguarda le versioni precedenti all’ultima release di Slimstat, plug-in piuttosto popolare – scaricato più di 1,3 milioni di volte dal repository ufficiale di WordPress.org – pensato per la gestione analitica del traffico e delle visite su un sito basato sul noto CMS.
Le versioni di Slimstat precedenti alla 3.9.6 proteggono i dati scambiati tra server e client con una chiave crittografica facilmente identificabile, dicono i ricercatori di Sucuri, e una volta scoperta è possibile usare la suddetta chiave come vettore per un attacco fondato sulla SQL injection contro il database MySQL del sito.
In seguito a un attacco condotto con successo, un malintenzionato potrebbe rubare informazioni sensibili dal database, inclusi i nomi degli utenti, le password (in forma di hash) o persino le Secret Key di WordPress. Il che implicherebbe la compromissione totale del sito sotto attacco.
Stando ai numeri forniti dal team del Blog engine, il numero di siti Web potenzialmente a rischi andrebbe stimato nell’ordine dei 100 mila. L’aggiornamento all’ultima release di Slimstat è ovviamente consigliato.
Via | Ars Technica
/https://www.html.it/app/uploads/2024/03/WordPress.png)
/https://www.html.it/app/uploads/2024/03/domestika.jpg)
/https://www.html.it/app/uploads/2023/12/wordpress.png)
/https://www.html.it/app/uploads/2024/02/WP65.jpg)