Azienda
I nostri brand Codice Etico
Vita in azienda I nostri valori
Servizi e Soluzioni
Contact Center PBX Cloud ERP Call Center Connettività Sicurezza e Domotica Ricerca e Sviluppo Energie Rinnovabili
Servizi IT ERP Cloud POS Virtuale Videoconferenza Robotica Sicurezza Informatica Sistemi di accumulo
Collaboration Archiviazione SMS Marketing Logistica Smart Healthcare Whistleblowing Platform Soluzioni IoT
Supporto Contatti Blog Area Clienti
Utility
Condizioni Generali Metodi di pagamento Carta dei servizi Aut. MISE / Agcom< Job Opportunity
Informativa Privacy Partnership Chiamami
Blog Il Gruppo
 
ITEN
 
 
  • Viale Giorgio Ribotta, 11
  • 00144 Roma (RM)
  • + 39 06.87.163
  • Disponibili, 9:00 alle 18:00
  • dal Lunedì al Venerdì

Copyright © 2025 Qsistemi Italia
 

 
Bug critico trovato nel plugin WordPress per Elementor con oltre un milione di installazioni
01 Febbraio 2022 - By: Qsistemi Italia

È stato riscontrato che un plug-in WordPress con oltre un milione di installazioni contiene una vulnerabilità critica che potrebbe comportare l'esecuzione di codice arbitrario su siti Web compromessi.

Il plugin in questione è Essential Addons per Elementor , che fornisce ai proprietari di siti WordPress una libreria di oltre 80 elementi ed estensioni per aiutare a progettare e personalizzare pagine e post.

"Questa vulnerabilità consente a qualsiasi utente, indipendentemente dal proprio stato di autenticazione o autorizzazione, di eseguire un attacco di inclusione di file locali", ha affermato Patchstack in un rapporto. "Questo attacco può essere utilizzato per includere file locali nel filesystem del sito Web, come /etc/passwd. Questo attacco può essere utilizzato anche per eseguire RCE includendo un file con codice PHP dannoso che normalmente non può essere eseguito."

Detto questo, la vulnerabilità esiste solo se vengono utilizzati widget come la galleria dinamica e la galleria del prodotto, che utilizzano la funzione vulnerabile, con conseguente inclusione di file locali, una tecnica di attacco in cui un'applicazione Web viene indotta con l'inganno a esporre o eseguire file arbitrari sul server web.

Il difetto interessa tutte le versioni dell'addon dalla 5.0.4 in poi, e la scoperta della vulnerabilità è accreditata al ricercatore Wai Yan Myo Thet. In seguito alla divulgazione responsabile, la falla nella sicurezza è stata finalmente colmata nella versione 5.0.5 rilasciata il 28 gennaio "dopo diverse patch insufficienti".

Lo sviluppo arriva settimane dopo che è emerso che attori non identificati hanno manomesso dozzine di temi e plug-in WordPress ospitati sul sito Web di uno sviluppatore per iniettare una backdoor con l'obiettivo di infettare altri siti.

 

 
⇠ Torna al Blog
 
 

Vuoi avere maggiori informazioni?

 
Contatta subito il numero
  06.87.163
risponderemo ad ogni tuo quesito.
 

Contatti

  • Qsistemi Italia
  • Viale Giorgio Ribotta, 11 -
           
    00144 Roma (RM)
  • +39 06.87.163
  • italy @ qsistemi . com
  • Disponibili, dalle 9 alle 18
           
    dal Lunedì al Venerdì

Utility

  • Condizioni Generali
  • Metodi di pagamento
  • Carta dei servizi
  • Aut. MISE / Agcom
  • Job Opportunity
  • Informativa Privacy
  • Partnership
  • Chiamami
  • Il Gruppo
  • Blog

Seguici su

Copyright © 2025 Qsistemi Italia è una società
 del Gruppo Gerardi
 - Partita IVA: 15591131006