{"id":55281,"date":"2020-02-18T13:00:07","date_gmt":"2020-02-18T12:00:07","guid":{"rendered":"https:\/\/www.alground.com\/site\/?p=55281"},"modified":"2020-03-18T23:05:12","modified_gmt":"2020-03-18T22:05:12","slug":"vulnerabilita-nel-plug-in-wpcentral","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/vulnerabilita-nel-plug-in-wpcentral\/55281\/","title":{"rendered":"Vulnerabilit\u00e0 nel plug-in wpCentral"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f6dd133361c\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f6dd133361c\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/vulnerabilita-nel-plug-in-wpcentral\/55281\/#Che_cose_wpCentral\" >Che cos&#8217;\u00e8 wpCentral?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/vulnerabilita-nel-plug-in-wpcentral\/55281\/#Chiave_di_connessione_visualizzata_nel_pie_di_pagina\" >Chiave di connessione visualizzata nel pi\u00e8 di pagina<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/vulnerabilita-nel-plug-in-wpcentral\/55281\/#Soluzione_aggiornare_immediatamente\" >Soluzione aggiornare immediatamente<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Il team di Intelligence ha scoperto una vulnerabilit\u00e0 in wpCentral, un plug-in di WordPress installato su oltre 60.000 siti. <\/p>\n\n\n\n<p>Il difetto permetteva il controllo remoto del sito tramite la dashboard amministrativa di wpCentral. Ci\u00f2 sarebbe dovuto ad una vulnerabilit\u00e0 sul controllo non corretto degli accessi che ha portato degli utenti all&#8217;escalation dei privilegi. WpCentral ha reagito prontamente rilasciando una patch con alcuni miglioramenti della sicurezza aggiuntivi.<\/p>\n\n\n\n<p>Questo \u00e8 un problema di sicurezza di elevata gravit\u00e0 che potrebbe causare un grave impatto sul sito. Raccomandiamo caldamente l&#8217;aggiornamento all&#8217;ultima versione, 1.5.2, immediatamente.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Che_cose_wpCentral\"><\/span>Che cos&#8217;\u00e8 wpCentral?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>WpCentral \u00e8 un plug-in di WordPress progettato per essere utilizzato in tandem con la dashboard di gestione di wpCentral per fornire una connessione tra i siti di WordPress e un&#8217;interfaccia di gestione. Il loro software \u00e8 progettato per semplificare la gestione del sito, con funzionalit\u00e0 tra cui l&#8217;accesso automatico con un clic dalla dashboard di wpCentral, la possibilit\u00e0 di creare backup, modificare post (nella versione premium) e molto altro.<\/p>\n\n\n\n<p>Al fine di fornire questa connessione tra il sito e la dashboard di gestione, il plug-in genera una chiave di autorizzazione casuale di 128 caratteri, memorizzata come wpcentral_auth_key &#8220;chiave di connessione&#8221;. Questa chiave viene utilizzata per aggiungere un sito alla dashboard di wpCentral, oltre a essere utilizzata come auth_key quando si inviano richieste dalla dashboard di wpCentral. \u00c8 una parte importante del processo di autenticazione e autorizzazione e, a causa delle sue capacit\u00e0, richiede protezioni rigorose per impedire l&#8217;uso non autorizzato.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Chiave_di_connessione_visualizzata_nel_pie_di_pagina\"><\/span>Chiave di connessione visualizzata nel pi\u00e8 di pagina <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Sfortunatamente, hanno scoperto che c&#8217;erano controlli di accesso deboli in atto per proteggere la chiave di connessione come veniva visualizzata in admin_footer in una finestra di dialogo modale.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"> 49 add_action('admin_footer', 'wpc_modal_dialog'); <\/pre>\n\n\n\n<p>Il pi\u00e8 di pagina dell&#8217;amministratore verifica se una pagina a cui si accede fa parte dell&#8217;interfaccia amministrativa e visualizzer\u00e0 tutto ci\u00f2 che \u00e8 richiesto in quell&#8217;area. Tuttavia, non verifica che l&#8217;utente abbia le capacit\u00e0 di &#8220;amministratore&#8221;, un malinteso comune con la serie di funzioni che contengono l&#8217;etichetta <code>admin<\/code>. Ci\u00f2 significava che qualsiasi utente connesso, indipendentemente dalle funzionalit\u00e0, poteva avere accesso per visualizzare qualsiasi contenuto nella finestra di dialogo modale visualizzata come parte di admin_footer.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Soluzione_aggiornare_immediatamente\"><\/span>Soluzione aggiornare immediatamente<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>L&#8217;aggiornamento del plug-in modifica la chiave wpCentral che verr\u00e0 reimpostata, impedendo agli aggressori di mantenere l&#8217;accesso non autorizzato al sito poich\u00e9 la chiave di connessione potrebbe essere stata precedentemente compromessa. Per questi motivi, consigliamo vivamente di aggiornare all&#8217;ultima versione il pi\u00f9 presto possibile per garantire che il  sito sia al sicuro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il team di Intelligence ha scoperto una vulnerabilit\u00e0 in wpCentral, un plug-in di WordPress installato su oltre 60.000 siti. Il difetto permetteva il controllo remoto del sito tramite la dashboard amministrativa di wpCentral. Ci\u00f2 sarebbe dovuto ad una vulnerabilit\u00e0 sul controllo non corretto degli accessi che ha portato degli utenti all&#8217;escalation dei privilegi. WpCentral ha [&hellip;]<\/p>\n","protected":false},"author":12,"featured_media":55285,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413,387,359],"tags":[],"class_list":{"0":"post-55281","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"category-guide-sicurezza","9":"category-editoriali","10":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2020\/02\/wpcentral-evid.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/55281","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=55281"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/55281\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/55285"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=55281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=55281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=55281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}