WordPress vulnerabile agli attacchi SQL Injection
La vulnerabilità è stata scoperta nel plug-in WP-Statistics utilizzato da piu di 300.00 siti web.
Tale vulnerabilità consente di ottenere informazioni relative al numero di utenti attualmente on-line, il numero di visite o le statistiche della pagina.

Scoperto da blog.sucuri.net il Plugin WP-Statistics contiene una falla che lo porta ad essere vulnerabile a SQL Injection.
La falla, con almeno un account abbonato consente di recuperare informazioni sensibili dal database del sito per ottenere l’accesso non autorizzato.
SQL Injection è un bug che consente di iniettare codice dannoso Structured Query Language (SQL)
per ingressi web al fine di determinare la struttura e la posizione del database.
La vulnerabilità SQL injection in WP Statistiche plug risiede in molteplici funzioni, tra cui wp_statistics_searchengine_query () .
“Questa vulnerabilità è causata dalla mancanza di sanificazione nei dati forniti dall’utente”, ha detto i ricercatori.
“Alcuni attributi dei wpstatistics shortcode vengono passati come parametri per le funzioni importanti e questo non dovrebbe essere un problema se sono state sterilizzate tali parametri.”
“Una delle funzioni wp_statistics_searchengine_query vulnerabile () nel file ‘include / funzioni / functions.php’; accessibile attraverso WordPress’ AJAX funzionalità grazie alla funzione principale wp_ajax_parse_media_shortcode ().”
Lascia un commento
Devi essere connesso per inviare un commento.