Vulnerabilità Critica Plugin WordPress "MapPress Maps"

Vulnerabilità Critica Plugin WordPress "MapPress Maps"

Una importante vulnerabilità è stata rilevata su MapPress per WordPress.

I ricercatori hanno avvertito l'amministratore di Wordpress. Se utilizzato, il difetto potrebbe consentire a un utente malintenzionato di interferire con i file della pagina iniziale personale (PHP) e persino di eseguire codici da remoto.

 Le funzioni AJAX relative alla creazione, rimozione o recupero di file PHP non sono state correttamente verificate dall'errore. Il bug interessa oltre 80.000 siti Web. 

Un hacker autorizzato può persino rimuovere qualsiasi file PHP esistente dal sito inviando la richiesta $ POST a wp-admin / admin-ajax.php, con un parametro di azione di cancellazione mapp tpl ed eliminando un nome di base per il file.
Ad esempio, nel caso in cui un attacco di routing possa essere utilizzato per eliminare wp-config.php con .. / .. / .. / wp-config. per questo parametro nome. Potrebbe causare il ripristino del sito Web, momento in cui un utente malintenzionato potrebbe accedere al sito configurandoli e collegandoli a un database dannoso da remoto host.

Per tracciare questa vulnerabilità, la documentazione è quella relativa alla seguente CVE:
CVE-2.020-12.675

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.