E’ stata scoperta negli ultimi giorni una pericolosa vulnerabilità “zero day” (ignota fino ad oggi agli sviluppatori) nel plugin WordPress FancyBox: l’estensione consente di personalizzare un sito o blog con un’interfaccia che utilizza come elemento ricorrente delle comuni scatole, opportunamente stilizzate.
Facciamo un po di chiarezza: le prime segnalazioni sono apparse nel forum ufficiale di WordPress, in cui alcuni utenti hanno attirato l’attenzione della community su diversi casi di iframe injection. La falla è stata poi individuata da alcuni ricercatori di Sucuri Security.
Queste le parole scritte da Daniel Cid: “In seguito a diversi accertamenti, possiamo confermare che questo plugin è affetto da una grave vulnerabilità che consente l’inserimento di malware (o qualsiasi script / contenuto casuale) al sito vulnerabile”.
WordPress, che ricordiamo essere una delle più importanti applicazioni CMS, ha rimosso il plugin dal proprio database online, mentre gli sviluppatori di FancyBox hanno provveduto a rilasciare degli opportuni aggiornamenti di sicurezza per il proprio plugin.
Vincenzo Abate
