Una vulnerabilità è stata scoperta nel WP-RecentComments plugin per WordPress, che può essere sfruttata da malintenzionati per condurre attacchi di tipo SQL injection.
L’input passato tramite il parametro “id” a index.php (quando “action” è impostato su “rc-content”) non viene validato correttamente prima di essere utilizzato in una query SQL. Questo può essere sfruttato per manipolare le query SQL iniettando codice SQL arbitrario.
La vulnerabilità è stata confermata nella versione 2.0.7. Altre versioni potrebbero essere colpite.
Al momento non ci sono aggiornamenti del plugin da parte dell’autore.
Cosa fare
Al momento si può solamente editare direttamente il codice ed inserire un controllo dell’input. Ma bisogna conoscere attentamente tutto il codice del Plugin, in caso contrario è meglio disattivare il plugin e cancellarlo dal server fino ad avvenuto upgrade dell’autore.
Hai problemi con il tuo WordPress o con i tuoi plugin e la sicurezza? Chiedi senza problemi