WordPress. Vulnerabilità in WP-reCAPTCHA Plugin Cross-Site.

WordPress. Vulnerabilità in WP-reCAPTCHA Plugin Cross-Site.

Gabriel Quadros ha scoperto una vulnerabilità nel WP-reCAPTCHA plugin per WordPress, che può essere sfruttata da malintenzionati per condurre attacchi di cross-site con falsificazione di richiesta.

L’applicazione permette agli utenti di eseguire determinate azioni tramite richieste HTTP senza eseguire controlli di validità proprio per verificare le richieste. Questo può essere sfruttato per esempio per disabilitare la verifica CAPTCHA per il modulo di registrazione o di condurre attacchi di inserimento script portando a visitare un sito Web dannoso, pur essendo loggato nel blog.

La vulnerabilità è stata confermata nella versione 2.9.8.2. Altre versioni potrebbero essere interessate.

Soluzione
Non navigare in siti Web non attendibili.

Scoperto da
Gabriel Quadros, IT Security Conviso

cod:93

1 Commenti

Aggiungi il tuo commento

Nome:

E-mail (Non viene pubblicata):

Sito Web (Linkback si', spam no):

Commenta:

Codice CAPTCHA *

Altri ArticoliVai alla Homepage

	Worpdress Plugin Track That Stat. Vulnerabilità Cross-Site Scripting Una vulnerabilità è stata scoperta nel plugin Track That Stat per WordPress, che può essere sfruttata da malintenzionati per condurre attacchi cross-site scripting. L’input passato al parametro “data” in wp-content/plugins/track-that-stat/js/trackthatstat.php non è validato correttamente prima di essere restituito all’utente. Questo può essere sfruttato per eseguire codice HTML arbitrario e codice script nella sessione browser di

	Twitter. Hacker Anonymous attaccano account… falsi Twitter sta indagando su 55.000 account violati, tra cui username e le combinazioni di password pubblicate online dal noto gruppo hacker Anonymous. Dettagli su account apparentemente appartenenti a spammer sono stati caricati sul sito Pastebin, un sito spesso utilizzato dagli hacker per inviare i risultati delle loro scappatelle. Gli account sono stati pubblicati in più

	Facebook: 6 mesi di antivirus gratis e protezione antispam Facebook ha annunciato oggi il Marketplace Antivirus, una nuova piattaforme dove gli oltre 850 milioni di utenti del social network potranno scaricare prodotti di sicurezza. Il vantaggio è duplice: il gigante del social network ha collaborato con Microsoft, McAfee, TrendMicro, Sophos e Symantec per fornire ai propri utenti l’accesso alla versione completa del software antivirus

	Vulnerabilità WordPress versioni precedenti la 3.3.2 Diverse vulnerabilità sono state riportate in WordPress, che possono essere sfruttate da utenti malintenzionati per bypassare alcune restrizioni di sicurezza e per eseguire l’inserimento di script e attacchi cross-site scripting. 1) Un errore nel determinare alcune azioni sui plugin a livello della rete possono essere sfruttati dagli amministratori. 2) Alcuni input passati tramite redirect dopo

	Fbi al lavoro per aiutare migliaia di utenti infetti da DNSChanger con DCWG. Ecco come Nel mese di novembre, l’FBI si mosse contro sei cittadini estoni e un cittadino russo impegnati nella creazione di un sistema massiccio e sofisticato di frodi che hanno infettato più di quattro milioni di computer situati in oltre 100 paesi con un malware. Tra i computer infettati dal malware, almeno 500.000 sono negli Stati Uniti,