Il team di Astra Security Threat Intelligence ha divulgato una vulnerabilità in Ivory Search, un plugin di ricerca per WordPress installato su oltre 60.000 siti. Questa vulnerabilità di sicurezza potrebbe essere sfruttata da un utente malintenzionato per eseguire azioni dannose sul sito Web di una vittima.
Ivory Search – WordPress Search Plugin consente ai suoi utenti di creare nuovi moduli di ricerca personalizzati per i loro siti WordPress.
Il team di Astra Security guidato da Jinson Varghese ha inizialmente contattato gli sviluppatori del plug-in Ivory Search con tutti i dettagli di divulgazione, il 28 marzo 2021. Gli sviluppatori hanno risposto confermando la vulnerabilità e il suo impatto, ed il giorno dopo, la patch è stata rilasciata.
Si tratta di una vulnerabilità XSS di media gravità che interessa il plug-in di ricerca Ivory versione 4.6.0 e precedenti. Pertanto, è fortemente consigliato aggiornare immediatamente questo plugin alla sua ultima versione contenente la patch, 4.6.1.
“Un particolare componente nella pagina delle impostazioni del plug-in Ivory Search non è stato convalidato correttamente, il che ha consentito l’esecuzione di codice JavaScript dannoso. Un utente malintenzionato può sfruttare tali vulnerabilità per eseguire azioni dannose “, ha affermato Jinson.
