I team di cybersecurity della Web Application Security Platform WebArx, e di Wordfence, security addon per WordPress, hanno recentemente pubblicato alcuni report dove vengono evidenziate delle importanti criticità presenti in tre plugin molto popolari del noto CMS: InfiniteWP Client, WP Time Capsule e WP Database Reset. Si stima che tali add-on siano utilizzati attivamente da più 400 mila siti Internet. Fortunatamente sono già disponibili gli aggiornamenti correttivi contenenti con i rispettivi bugifx. Le vulnerabilità nel dettaglio InfiniteWP era afflitto da un problema di natura logica che avrebbe permesso di accedere all’account di un amministratore senza per questo dover conoscere la password di autenticazione. Un utente malintenzionato, avendo a disposizione l’username dell’account, avrebbe potuto utilizzare per esempio una semplice POST request payload con un encoding scritto…