{"id":30974,"date":"2012-02-23T17:31:23","date_gmt":"2012-02-23T17:31:23","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=30974"},"modified":"2020-03-18T23:05:12","modified_gmt":"2020-03-18T22:05:12","slug":"wordpress-vulnerabilita-in-wp-recentcomments-plugin","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/wordpress-vulnerabilita-in-wp-recentcomments-plugin\/30974\/","title":{"rendered":"WordPress vulnerabilit\u00e0 in WP-RecentComments plugin"},"content":{"rendered":"<div align=\"center\"><a class=\"twitter-follow-button\" href=\"https:\/\/twitter.com\/alextorre13\" data-show-count=\"false\" data-lang=\"it\" data-size=\"large\">Segui @alextorre13<\/a><br \/>\n<script type=\"text\/javascript\">\/\/ <![CDATA[\n!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=\"\/\/platform.twitter.com\/widgets.js\";fjs.parentNode.insertBefore(js,fjs);}}(document,\"script\",\"twitter-wjs\");\n\/\/ ]]><\/script><\/div>\n<p>Una vulnerabilit\u00e0 \u00e8 stata scoperta nel <a title=\"Wp recentcomments\" href=\"http:\/\/wordpress.org\/extend\/plugins\/wp-recentcomments\/\" target=\"_blank\" rel=\"noopener noreferrer\">WP-RecentComments plugin<\/a> per WordPress, che pu\u00f2 essere sfruttata da malintenzionati per condurre attacchi di tipo <a title=\"Sql Injection\" href=\"http:\/\/it.wikipedia.org\/wiki\/SQL_injection\" target=\"_blank\" rel=\"noopener noreferrer\">SQL injection<\/a>.<\/p>\n<p>L&#8217;input passato tramite il parametro &#8220;id&#8221; a index.php (quando &#8220;action&#8221; \u00e8 impostato su &#8220;rc-content&#8221;) non viene validato correttamente prima di essere utilizzato in una query SQL. Questo pu\u00f2 essere sfruttato per manipolare le query SQL iniettando codice SQL arbitrario.<\/p>\n<p>La vulnerabilit\u00e0 \u00e8 stata confermata nella <strong>versione 2.0.7<\/strong>. Altre versioni potrebbero essere colpite.<\/p>\n<p>Al momento <strong>non ci sono aggiornamenti del plugin<\/strong> da parte dell&#8217;autore.<\/p>\n<p><strong>Cosa fare<\/strong><\/p>\n<p>Al momento si pu\u00f2 solamente editare direttamente il codice ed inserire un controllo dell&#8217;input. Ma bisogna conoscere attentamente tutto il codice del Plugin, in caso contrario \u00e8 meglio <strong>disattivare<\/strong> il plugin e cancellarlo dal server fino ad avvenuto upgrade dell&#8217;autore.<\/p>\n<p><strong>Hai problemi con il tuo WordPress o con i tuoi plugin e la sicurezza? Chiedi senza problemi<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Segui @alextorre13 Una vulnerabilit\u00e0 \u00e8 stata scoperta nel WP-RecentComments plugin per WordPress, che pu\u00f2 essere sfruttata da malintenzionati per condurre attacchi di tipo SQL injection. L&#8217;input passato tramite il parametro &#8220;id&#8221; a index.php (quando &#8220;action&#8221; \u00e8 impostato su &#8220;rc-content&#8221;) non viene validato correttamente prima di essere utilizzato in una query SQL. Questo pu\u00f2 essere sfruttato [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413,359],"tags":[72],"class_list":{"0":"post-30974","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-attualita","7":"category-editoriali","8":"tag-wordpress","9":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/30974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=30974"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/30974\/revisions"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=30974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=30974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=30974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}