I ricercatori di Patchstack hanno scoperto due vulnerabilità critiche nel plugin Jupiter X Core, installato su oltre 172.000 siti WordPress, che potrebbero essere sfruttate per accedere agli account e copiare file senza autenticazione. Lo sviluppatore ArtBees ha rilasciato le patch a fine luglio e inizio agosto, dopo aver ricevuto la segnalazione a metà luglio.
Installare subito l’aggiornamento
Jupiter X Core è un componente di Jupiter X, uno degli editor visuali più popolari per WordPress. La prima vulnerabilità, indicata con CVE-2023-38388, è stata individuata nelle versioni del plugin inferiori alla 3.3.5. Può essere sfruttata da malintenzionati per caricare file sul server senza autenticazione, inclusi file PHP che permettono l’esecuzione di codice remoto.
La seconda vulnerabilità, indicata con CVE-2023-38389, è stata scoperta nelle versioni del plugin inferiori alla 3.3.8. Può essere sfruttata per prendere il controllo di ogni account WordPress (amministratore incluso), senza autenticazione. L’unico requisito è conoscere l’indirizzo email.
La prima vulnerabilità è stata risolta con la versione 3.3.8 del 31 luglio, mentre la seconda è stata risolta con la versione 3.4.3 del 9 agosto. Ovviamente gli utenti devono immediatamente installare l’ultima versione disponibile (3.4.6) rilasciata lo scorso 17 agosto.
Queste ennesimi problemi di sicurezza dimostrano che il “punto debole” di WordPress sono proprio i plugin. È quindi necessario installare solo quelli realmente utili, eliminando quelli poco o mai usati. Inoltre deve essere verificata spesso la disponibilità di aggiornamenti.
Ti potrebbe interessare
25 ago 2023