MarketingNews

Sicurezza: plugin di WordPress da aggiornare GalleryBank

Così come rivelato da seclists di recente, GalleryBank – il plugin per creare gradevoli gallerie di video o immagini – sarebbe affetto nella penultima versione, al momento in cui scriviamo, da una falla che consentirebbe ad un utente malevolo il cross-site scripting (XSS).

In sostanza l’attacco sfrutta un mancato controllo su una variabile per iniettare via POST del codice malevolo, come nell’esempio riportato di seguito:

/wordpress/wp-admin/admin.php?page=add_album&action=album_gallery_library&param=reorder_td_control 

inviando via POST i seguenti dati:

recordsArray[]=<script>...codice arbitrario in JS...</script>

La versione del plugin aggiornato è stata immediatamente prodotta (2.0.20) dagli sviluppatori ed è altamente consigliabile aggiornarla se, eventualmente, fosse installata sul nostro sito in WordPress.

Lascia un commento

Back to top button