WP Super Cache è affetto da un grave problema di sicurezza, un baco che potrebbe essere sfruttato da un utente malintenzionato per compromettere in maniera irreparabile i siti Web basato su WordPress. Ora più che mai, l’aggiornamento è imperativo.
Il bug nel popolare plug-in per alleggerire il traffico su siti WordPress (tramite una cache basata su pagine HTML statiche generate dai contenuti presenti nel database MySQL che alimenta di contenuti il CMS) consiste in una vulnerabilità Cross-Site-Scripting (XSS) persistente, mentre per quanto riguarda le versioni affette dal problema solo l’ultima release del plug-in (1.4.4) ne sarebbe immune.
Sfruttando la nuova vulnerabilità, avvertono i ricercatori, un cyber-criminale potrebbe inserire uno script malevolo all’interno delle pagine salvate nella cache di WP Super Cache; spingendo l’amministratore del sito a visitare (manualmente) quella particolare pagina infetta, infine, un attaccante potrebbe servirsi dello script per aggiungere un nuovo account amministratore al sito Web o per inserire backdoor.
La pericolosità del bug XSS è in qualche modo mitigata dalla necessità di visitare manualmente la pagina statica infetta, sebbene le potenzialità distruttive del baco non vadano sottovalutate visti i numeri in gioco: WP Super Cache risulta al momento installato su più di un milione di siti WordPress.
Via | WP Tavern