WordPress: Grave falla nel plugin Coming Soon Page & Maintenance Mode

E’ stato rilevato un nuovo difetto XSS che consente a un utente malintenzionato di inserire codice JavaScript o HTML nel front-end del blog dei siti WordPress che eseguono il plug-in “‘Coming Soon Page & Maintenance Mode” versione 1.7.8 o precedente.

I siti WordPress compromessi visualizzanoannunci popup indesiderati e reindirizzano i visitatori a landing page dannose, tra cui truffe di supporto tecnico, APK Android dannosi e annunci farmaceutici.

Il codice JavaScript utilizzato per infettare i siti caricherà codice aggiuntivo da altri domini di terze parti per sviluppare un payload dannoso completo che viene eseguito quando un visitatore apre il sito Web infetto.

Il difetto XSS è stato corretto nella versione 1.7.9 del plugin WordPress.