Wordfence, plug-in molto conosciuto in ambito Wordpress, analizza e tiene monitorata la situazione della sicurezza nell’ambito ed ha riscontrato vulnerabilità zero-day in tre componenti aggiuntivi Wordpress, nello specifico si tratta dei seguenti plug-in:
Appointments, Flickr Gallery e RegistrationMagic-Custom Registration Forms
Le vulnerabilità nello specifico riguardano il PHP Object injection, permettono di creare una backdoor nei siti wordpress vulnerabili e potenzialmente prenderne il controllo nel giro di pochi minuti.
Secondo Wordfence questi plug-in, per fortuna, non sono molto utilizzati e si contano circa 21 installazioni in altrettanti siti.
Gli sviluppatori hanno prontamente rilasciato aggiornamenti per i propri componenti aggiuntivi:
Appointments aggiornato alla versione 2.2.2
Flickr Gallery aggiornato alla versione 1.5.3
RegistrationMagic-Custom Registration Forms aggiornato alla versione 3.7.9.4
Chi avesse nel proprio sito web questi componenti aggiuntivi è fortemente consigliato di procederne all’aggiornamento, visto che la gravità di queste vulnerabilità è classificata in 9,8 punti su 10.
Approfondimenti: 3 Zero-Day Plugin Vulnerabilities Being Exploited In The Wild