Tech
WordPress: attenti alla vulnerabilità Xss riflessa del servizio antimalware e firewall. Cosa fare
Un popolare plugin anti-malware per WordPress ha una vulnerabilità cross-site scripting reflected. Questo è un tipo di vulnerabilità che può consentire a un utente malintenzionato di compromettere un utente di livello amministratore del sito web interessato.
Plugin WordPress interessato
Il plugin scoperto contenere la vulnerabilità è Anti-Malware Security and Brute-Force Firewall, che è utilizzato da oltre 200.000 siti web.
Anti-Malware Security and Brute-Force Firewall è un plugin che difende un sito web come un firewall (per bloccare le minacce in entrata) e come uno scanner di sicurezza, per controllare le minacce alla sicurezza sotto forma di backdoor hack e iniezioni di database.
Una versione premium difende i siti web contro gli attacchi di forza bruta che cercano di indovinare password e nomi utente e protegge dagli attacchi DDoS.
Vulnerabilità di Cross-Site Scripting reflected
Questo plugin è stato trovato per contenere una vulnerabilità che ha permesso ad un attaccante di lanciare un attacco Cross-Site Scripting reflected (XSS reflected).
Una vulnerabilità cross-site scripting reflected in questo contesto è quella in cui un sito WordPress non limita correttamente ciò che può essere inserito nel sito.
Questo fallimento nel limitare ciò che viene caricato è essenzialmente come lasciare la porta principale del sito web aperta e consentire praticamente qualsiasi cosa da caricare.
Un hacker approfitta di questa vulnerabilità caricando uno script e facendo in modo che il sito web lo rifletta.
Quando qualcuno con permessi di livello amministratore visita un URL compromesso creato dall’attaccante, lo script viene attivato con i permessi di livello amministratore memorizzati nel browser della vittima.
Il rapporto di WPScan sulla sicurezza anti-malware e Firewall Brute-Force ha descritto la vulnerabilità:
“Il plugin non sanifica ed esegue l’escape del QUERY_STRING prima di restituirlo in una pagina di amministrazione, portando ad un Cross-Site Scripting riflesso nei browser che non codificano i caratteri”
Il National Vulnerability Database del governo degli Stati Uniti non ha ancora assegnato a questa vulnerabilità un punteggio di livello di gravità. La vulnerabilità in questo plugin è chiamata una vulnerabilità “XSS riflessa“.
Ci sono altri tipi di vulnerabilità XSS, ma questi sono tre tipi principali:
- Vulnerabilità Cross-Site Scripting memorizzata (Stored XSS)
- Cross-Site Scripting cieco (Blind XSS)
- XSS riflesso
In una vulnerabilità XSS Stored o Blind XSS, lo script dannoso è memorizzato sul sito stesso. Questi sono generalmente considerati una minaccia più alta perché è più facile ottenere un utente di livello amministrativo per attivare lo script. Ma questi non sono quelli che sono stati scoperti nel plugin.
In un XSS riflesso, che è quello che è stato scoperto nel plugin, una persona con credenziali di livello admin deve essere indotta con l’inganno a cliccare su un link (per esempio da una e-mail) che poi riflette il payload dannoso dal sito web.
Il non-profit Open Web Application Security Project (OWASP) descrive un XSS riflesso in questo modo:
“Gli attacchi riflessi sono quelli in cui lo script iniettato viene riflesso dal server web, come in un messaggio di errore, un risultato di ricerca, o qualsiasi altra risposta che include alcuni o tutti gli input inviati al server come parte della richiesta. Gli attacchi riflessi sono consegnati alle vittime attraverso un altro percorso, come in un messaggio di posta elettronica, o su qualche altro sito web”.
Consigliato l’aggiornamento alla versione 4.20.96
Si raccomanda generalmente di avere un backup dei file di WordPress prima di aggiornare qualsiasi plugin o tema.
La versione 4.20.96 del plugin WordPress Anti-Malware Security and Brute-Force Firewall contiene una correzione per la vulnerabilità.
Smartphone
LibreOffice 24.2.3 rilasciato: correzioni e stabilità migliorate
Tempo di lettura: < 1 minuto. Scopri LibreOffice 24.2.3 con 79 correzioni per migliorare stabilità e affidabilità. Aggiorna ora alla nuova versione
LibreOffice 24.2.3 è ora disponibile, rappresentando il terzo aggiornamento della serie LibreOffice 24.2. Questo aggiornamento apporta un significativo miglioramento alla stabilità e affidabilità del software, risolvendo oltre 79 bug segnalati dagli utenti. Questo rilascio segue il precedente aggiornamento 24.2.2, che aveva già introdotto correzioni a più di 70 bug.
Dettagli del rilascio
LibreOffice 24.2.3 si concentra principalmente sulla risoluzione di problemi che causavano crash e altri inconvenienti, aumentando così la stabilità generale della suite. Gli utenti possono consultare i dettagli sui bug risolti nei changelog di RC1 e RC2 disponibili sul sito della Document Foundation.
Download e installazione
Le nuove versioni binarie per distribuzioni GNU/Linux basate su DEB e RPM sono scaricabili direttamente dal sito ufficiale di LibreOffice. Gli utenti che hanno installato LibreOffice 24.2 dalle repository del proprio sistema operativo GNU/Linux dovranno attendere l’arrivo dell’aggiornamento 24.2.3 in queste repository per eseguire un normale aggiornamento del sistema.
Supporto e prossimi passi
LibreOffice 24.2 sarà supportato con aggiornamenti di manutenzione fino al 30 novembre 2024. Il prossimo aggiornamento, LibreOffice 24.2.4, è previsto per i primi di giugno 2024. Tutti gli utenti di LibreOffice 24.2 sono incoraggiati ad aggiornare alla nuova release appena possibile per garantire la migliore esperienza utente e sicurezza.
Note per le imprese
La Document Foundation ricorda che questa è l’edizione “Community” di LibreOffice, supportata da volontari. Per implementazioni di classe enterprise, si consigliano le applicazioni della famiglia LibreOffice Enterprise disponibili tramite i partner dell’ecosistema.
Questo aggiornamento sottolinea l’impegno continuo di LibreOffice nel migliorare e stabilizzare la sua suite di produttività, rendendola sempre più affidabile per utenti privati e aziendali.
Tech
Ultrahuman Ring Air vs Oura Ring Gen 3: quale scegliere?
Tempo di lettura: 3 minuti. Scopri le differenze tra Ultrahuman Ring Air e Oura Ring Gen 3 per scegliere il smart ring ideale per il monitoraggio quotidiano della tua salute.
I dispositivi indossabili sono sempre più popolari per il monitoraggio della salute, e i smart ring stanno diventando un’alternativa interessante agli smartwatch. Tra i modelli più discussi ci sono l’Ultrahuman Ring Air e l’Oura Ring Gen 3, entrambi progettati per offrire un monitoraggio discreto e avanzato senza le distrazioni di uno schermo luminoso.
Design e Comfort
Il comfort è essenziale per un dispositivo indossabile quotidiano. L’Ultrahuman Ring Air si distingue per il suo design uniforme e minimalista, pesando solo 3 grammi e spesso 2.5 millimetri, rendendolo meno ingombrante dell’Oura Ring Gen 3. È disponibile in vari colori tra cui Raw Titanium e Aster Black, mentre l’Oura Ring offre opzioni come Matte Black e Gold. Entrambi i modelli richiedono una prova di dimensionamento per garantire la misura perfetta, ma l’Oura Ring è disponibile anche presso i negozi Best Buy, facilitando l’acquisto diretto.
Sensibilità e Funzionalità
Entrambi i ring sono equipaggiati con sensori avanzati che monitorano parametri come la frequenza cardiaca, il sonno e l’attività fisica. L’Ultrahuman Ring Air utilizza tecnologia PPG per monitorare la frequenza cardiaca e la saturazione dell’ossigeno, ma la recensione di Android Central nota alcune imprecisioni nei dati di saturazione dell’ossigeno rispetto agli smartwatch. L’Oura Ring Gen 3 offre, invece, una nuova metrica di resilienza che valuta la capacità di recupero dello stress durante il giorno.
Batteria e Caricamento
L’Ultrahuman Ring Air ha una batteria da 24mAh che dura fino a 6 giorni per carica, mentre l’Oura Ring Gen 3 dispone di una batteria da 16mAh che offre fino a 7 giorni di autonomia. Entrambi necessitano di sistemi di ricarica efficienti per minimizzare i tempi di inattività.
Prezzo e Disponibilità
L’Oura Ring Gen 3 è disponibile per l’acquisto a partire da $299 per il modello Heritage e $349 per il modello Horizon. L’Ultrahuman Ring Air ha un prezzo di $349.
Specifiche | Ultrahuman Ring Air | Oura Ring Gen 3 |
---|---|---|
Dimensioni | 8.1mm, spessore da 2.45 a 2.8mm | Larghezza 7.9mm, spessore 2.5mm |
Materiali | Titanio duraturo e rivestimento in carbonio tungsteno | Titanio leggero |
Resistenza all’acqua | Resistente all’acqua fino a 100 metri (330 piedi) | Resistente all’acqua fino a 100 metri (330 piedi) |
Colori | Aster Black, Matte Grey, Bionic Gold, Space Silver | Titanio, Stealth, Black, Gold, Rose Gold, Silver |
Taglie | 5-14 | 6-13 |
Connettività | Bluetooth 5 LE, compatibile con iOS 15+ o Android 6+ | Bluetooth 4.0, compatibile con iOS 15+ o Android 8+ |
Sensori | PPG infrarosso (LED Rossi, Verdi, e IR) | PPG infrarosso (LED Rossi, Verdi, e IR) |
Batteria | Batteria LiPo 24mAh (6 giorni per ricarica) | Batteria al litio-ion 16mAh (7 giorni) |
La scelta tra Ultrahuman Ring Air e Oura Ring Gen 3 dipenderà dalle priorità personali in termini di comfort, accuratezza dei dati e prezzo. Se preferisci un design più leggero e non vuoi sottoscrivere un abbonamento mensile, l’Ultrahuman Ring Air, scoprilo su Amazon, potrebbe essere la scelta migliore. Se, invece, desideri un dispositivo da un marchio più affermato con funzionalità software avanzate, l’Oura Ring Gen 3, disponibile sul suo sito Internet, potrebbe essere più adatto, nonostante il costo dell’abbonamento dopo il periodo di prova gratuito.
Smartphone
Vivo Y38 5G: economico e con batteria potente e doppia fotocamera
Tempo di lettura: 2 minuti. Scopri il Vivo Y38 5G: un telefono economico con display da 6.68″, Snapdragon 4 Gen 2, doppia fotocamera, e batteria da 6000mAh.
Vivo ha aggiunto alla sua gamma di dispositivi accessibili il nuovo Y38 5G, pensato per chi cerca un equilibrio tra prezzo accessibile e caratteristiche moderne. Questo modello promette di offrire un’esperienza 5G a un prezzo competitivo, rendendolo una scelta attraente per gli utenti attenti al budget.
Caratteristiche principali
Il Vivo Y38 5G si distingue per il suo display da 6.68 pollici HD+ IPS LCD, che offre un tasso di aggiornamento di 120Hz per un’esperienza visiva fluida, ideale per navigazione e intrattenimento. All’interno, il dispositivo è alimentato dal chipset Qualcomm Snapdragon 4 Gen 2, supportato da 8GB di RAM, garantendo una gestione efficiente del multitasking. Per quanto riguarda la memoria interna, sono disponibili 256GB espandibili tramite microSD, offrendo ampio spazio per app e media.
Fotocamere e Batteria
Il Y38 5G è equipaggiato con un sistema di doppia fotocamera posteriore: il sensore principale da 50 megapixel permette di catturare momenti quotidiani con chiarezza, mentre un sensore macro da 2 megapixel si addice alle riprese ravvicinate. La fotocamera frontale da 8 megapixel è ideale per selfie e videochiamate. Un altro punto di forza è la batteria da 6000mAh, che assicura una lunga durata, supportata da una ricarica rapida da 44W per ricariche veloci.
Software e Connettività
Il telefono opera su Android 14 con l’interfaccia utente FunTouch OS 14 di Vivo, offrendo un’esperienza software fluida e aggiornata. Le opzioni di connettività includono il supporto 5G, dual SIM, Wi-Fi, Bluetooth e NFC per pagamenti contactless. Notare l’assenza del jack audio da 3.5mm, che potrebbe spingere gli utenti verso l’uso di cuffie wireless o un adattatore USB-C.
Prezzo e Disponibilità
Sebbene il prezzo ufficiale e la data di lancio non siano stati ancora confermati, si prevede che il Y38 5G venga proposto intorno ai $200, posizionandolo come un’opzione vantaggiosa nel segmento degli smartphone 5G economici. Con il suo ampio display, processore capace, batteria duratura e moderne caratteristiche, il Y38 5G si presenta come una scelta solida per chi cerca un’esperienza 5G affidabile a un prezzo ragionevole.
- Editoriali2 settimane fa
Università, Israele e licenziamenti BigTech
- Robotica2 settimane fa
Atlas di Boston Dynamics non è morto
- Editoriali2 settimane fa
MITRE vittima di zero day Ivanti: anche i migliori le prendono
- Inchieste1 settimana fa
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
- Inchieste1 settimana fa
Managed Service Providers in Italia: numeri di un mercato in crescita
- Inchieste1 settimana fa
Cloud Italiano qual è il Trend del 2024? Aziende e servizi disponibili
- Inchieste1 settimana fa
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
- Cyber Security1 settimana fa
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni