Vulnerabilità nel plugin “Elementor Website Builder”
È stata recentemente scoperta una vulnerabilità di tipo Cross-Site Scripting (XSS) nel popolare plugin “Elementor Website Builder”, utilizzato da oltre 10 milioni di siti WordPress. Questa falla, identificata come CVE-2024-5416, potrebbe permettere a utenti con privilegi di “Contributor” o superiori di iniettare script malevoli nelle pagine del sito, compromettendo la sicurezza e l’integrità dei contenuti. […]
Balada: oltre 3.300 siti WordPress infettati
Sucuri ha scoperto una nuova campagna malware contro siti WordPress, mirando al plugin Popup Builder. L’attacco, simile a uno precedente, ha sfruttato una vulnerabilità nel plugin. Migliaia di siti risultano non aggiornati, con Balada Injector che ha colpito più di 3.300 di essi. Il plugin Popup Builder, diffuso con oltre 200.000 installazioni, è stato utilizzato […]
Siti WordPress infetti da Badala Injector, sfruttando una vulnerabilità di Popup Builder
Balada Injector ha lanciato una campagna malware che ha colpito oltre 6.700 siti WordPress, sfruttando una vulnerabilità nel plugin Popup Builder. La campagna, scoperta dal team di sicurezza di Dr. Web, si è concentrata su siti che utilizzavano versioni vulnerabili del plugin e è stata attuata mediante attacchi coordinati che sfruttavano difetti noti nei temi […]
Attenzione al plug-in POST SMTP
Il plug-in POST SMTP Mailer per WordPress presenta due vulnerabilità che potrebbero permettere a malintenzionati di assumere il controllo completo dell’autenticazione del sito. Queste vulnerabilità, scoperte il mese scorso dai ricercatori di sicurezza di Wordfence, colpiscono tutte le versioni del plugin fino alla 2.8.7. La prima vulnerabilità, denominata CVE-2023-6875, è un grave problema di bypass […]
Pretty Google Calendar vulnerabile
Il plugin Pretty Google Calendar per WordPress presenta una vulnerabilità di tipo Stored Cross-Site Scripting (XSS) nelle versioni comprese tra la 1.5.1 e la 1.6.0. Questo problema è stato segnalato dagli specialisti di sicurezza di Wordfence. La causa principale è la mancanza di adeguata pulizia dei dati in ingresso e dell’escapismo dei dati in uscita […]
Jetpack vulnerabile per 5 milioni di siti
WordPress ha reagito prontamente alla scoperta di una grave vulnerabilità che ha interessato il popolare plugin Jetpack, coinvolgendo più di 5 milioni di siti web. Questo plugin offre una vasta gamma di funzionalità, dalla sicurezza alle prestazioni e alla gestione dei backup, il che lo rende molto diffuso tra i webmaster che utilizzano WordPress. L’ingegnere […]
Plugin di sicurezza AIOS non sicuro
Il plugin di sicurezza AIOS per WordPress, che conta oltre un milione di utenti, ha registrato le password degli utenti in testo non criptato, mettendo così a rischio la sicurezza dei loro account. L’autore del plugin, Updraft, ha inizialmente considerato questo problema come un “bug noto” e ha promesso una correzione futura. Dopo la crescente […]
WordPress non supporta più le API di Twitter
Automattic ha annunciato che non consentirà più la condivisione automatica dei post di WordPress su Twitter tramite il plugin JetPack Social a causa dell’aumento dei costi delle API del social network. Gli utenti dovranno ora inserire manualmente il link del post nei loro tweet a partire dal 1 maggio. Questa decisione è stata influenzata dal […]
In arrivo WordPress 6.4
E’ in arrivo (a Novembre?) e promette alcune funzionalità molto attese dagli utenti. La principale novità sarà il nuovo tema predefinito chiamato Twenty Twenty-Four, progettato per adattarsi a una varietà di utilizzi, tra cui imprenditori, artisti, fotografi e blogger. Inoltre, WordPress 6.4 introdurrà tre nuovi blocchi: “Table of Contents block” per la creazione di sommari, […]
Due vulnerabilità critiche per Jupiter X Core
Il plugin Jupiter X Core per WordPress, utilizzato su oltre 172.000 siti web, ha presentato due vulnerabilità critiche. La prima, nota come CVE-2023-38388, permette il caricamento di file senza autenticazione, consentendo l’esecuzione di codice dannoso sul server. La seconda, CVE-2023-38389, consente agli aggressori non autenticati di assumere il controllo di account utente WordPress conosciuti tramite […]