Mika Epstein, Ipstenu, di DreamHost, ci ha comunicato una grave vulnerabilità nel WordPress Slider Revolution plugin Premium, che è stato patchato silenziosamente.
Si è scoperta la vulnerabilità tramite i forum underground della rete. Esso infatti permette di scaricare parti preziose come wp-config del sito. Attenzione questo bug è per la versione 4.0.2 del plug che si può scaricare Envato’s Marketplace – Code Canyon.
Infatti, basta che si mette nella barra dell’indirizzo un particolare url (che so ma non divulgherò naturalmente), si potranno scaricare questo e molti altri files del nostro wordpress .
Questo tipo di vulnerabilità è conosciuto come un locale Inclusione file (LFI). L’attaccante è in grado di accedere, revisione, scaricare un file locale sul server.
Voci di periferia dicono che uno sviluppatore del plugin che è molto popolare nella rete ha deciso che era meglio non rivelare a nessuno questo buco mostruoso (chi lo sa se è vero). Intendiamoci, naturalmente questa vulnerabilità è stata già divulgata via forum underground, che ha fatto si che già ad Agosto si sono registrati attacchi che pian piano sono cresciute in maniera smisurata.
Quindi se utilizzo il plugin WordPress Slider Revolution Premium, DEVI NECESSARIAMENTE AGGIORNARE IL PLUGIN!