Vulnerabilità Plugin Blog2Social

Nov 9, 2022 | Sicurezza Wordpress, Wordpress

Vulnerabilità Plugin Blog2Social

Nov 9, 2022 | Sicurezza Wordpress, Wordpress

Il 5 ottobre 2022, il team di Wordfence Threat Intelligence ha rivelato responsabilmente una vulnerabilità di autorizzazione mancante in Blog2Social, un plug-in WordPress installato su oltre 70.000 siti che consente agli utenti di impostare la condivisione dei post su vari social network.
Le versioni vulnerabili del plug-in consentono agli aggressori autenticati con autorizzazioni minime, come gli abbonati, di modificare le impostazioni del plug-in.

Inizialmente abbiamo contattato lo sviluppatore tramite e-mail il 1 ottobre 2022. Dopo aver ricevuto una risposta dallo sviluppatore poco dopo, abbiamo rivelato questa vulnerabilità al loro team il 5 ottobre 2022. È stata fornita una correzione parziale entro un giorno (versione 6.9. 11) con una correzione completa successiva al 10 ottobre 2022 (versione 6.9.12).

Al momento della scoperta, non abbiamo rilasciato una regola del firewall poiché abbiamo stabilito che è improbabile che la vulnerabilità venga presa di mira e ha un impatto relativamente basso. Dopo un’ulteriore valutazione, abbiamo deciso di rilasciare una regola del firewall il 27 ottobre 2022 come misura precauzionale. I clienti Premium, Care e Response hanno ricevuto tale protezione lo stesso giorno, mentre i siti che eseguono ancora la versione gratuita di Wordfence riceveranno la stessa protezione 30 giorni dopo, il 26 novembre 2022. Pertanto, consigliamo vivamente di aggiornare alla versione 6.9.12 o superiore a Blog2Social per garantire che il tuo sito sia protetto da qualsiasi exploit mirato a questa vulnerabilità.