Geekissimo

WordPress: grave vulnerabilità, milioni di siti a rischio

 
Martina Oliva
8 Maggio 2015
0 commenti

WordPress è senza ombra di dubbio una delle piattaforme maggiormente utilizzate dall’utenza in tutto il mondo per la realizzazione di siti Web. Tenendo conto di tale dato la vulnerabilità scovata proprio nel corso delle ultime ore risulta essere ancor più grave di quanto già non lo sia.

Foto che mostra il logo di WordPress

Milioni di siti Internet basati su WordPress rischiano infatti di subire un attacco hijacking a causa di una falla presente nell’installazione predefinita del celebre CMS.

Nel dettaglio, il bug scovato è di tipo XSS (Cross-Site Scripting) ed è stato individuato nel pacchetto Genericons utilizzato da diversi temi e plugin tra cui TwentyFifteen, disponibile di default, e JetPack, installato oltre un milione di volte.

La vulnerabilità XSS è di DOM-based quindi risiede nel Document Object Model responsabile della visualizzazione di testo, immagini e link nel browser. Questo sta a significare che l’attacco viene eseguito sul lato client e risulta essere decisamente difficile da bloccare poiché la pagina non subisce modifiche ma il bug permette di eseguire codice JavaScript se l’utente ha effettuato l’accesso con le credenziali di amministratore.

L’exploit richiede quindi semplici tecniche di ingegneria sociale, come ad esempio una email o un messaggio che contiene un link, ma per fortuna risulta altrettanto semplice da risolvere. Basta infatti eliminare i file example.html nel package Genericons.

La soluzione alla vulnerabilità è stata applicata alla versione 4.2.2 di WordPress già disponibile per il download. I webmaster interessati dovrebbero dunque provvedere quanto prima all’installazione della nuova versione del CSM al fine di evitare ogni tipo di problematica. L’aggiornamento risolve anche altri 13 bug. Tutti i temi e i plugin presenti sul sito WordPress.org sono inoltre stati aggiornati per rimuovere il file incriminato e non essenziale.

[Photo Credits | 360b / Shutterstock.com]

Via | Engadget

Potrebbe interessarti anche
Articoli Correlati
Google, 7 giorni per correggere i bug

Google, 7 giorni per correggere i bug

D’ora in avanti a seguito della scoperta di gravi vulnerabilità su software e servizi altrui Google attenderà soltanto 7 giorni prima di comunicare pubblicamente il tutto. I vendor avranno quindi […]

PayPal, segnalata vulnerabilità ma niente rimborso

PayPal, segnalata vulnerabilità ma niente rimborso

Alcuni hanno già sentito nominare in altre occasioni Robert Kugler in fatto sicurezza ma la vicenda salita agli onori della cronaca nel corso delle ultime ore è sicuramente ben più […]

Rilasciato WordPress 2.8.2, corretta una vulnerabilità XSS

Rilasciato WordPress 2.8.2, corretta una vulnerabilità XSS

A pochi giorni dal rilascio della versione 2.8.1, lo staff di WordPress corre di nuovo ai ripari rilasciando WordPress 2.8.2, a causa di una vulnerabilità XSS prontamente scoperta e fixata. […]

WordPress si Aggiorna alla Versione 2.5.1 Rilasciando Importanti Update

WordPress si Aggiorna alla Versione 2.5.1 Rilasciando Importanti Update

Di blog c’è ne sono parecchi in giro per il Web, e sicuramente ogni Geek che più Geek non si può, ce ne avrà uno, dove cerca di estrarre le […]

Grave vulnerabilità in WordPress 2.3.X: aggiornamento a WordPress 2.3.2 urgente

Grave vulnerabilità in WordPress 2.3.X: aggiornamento a WordPress 2.3.2 urgente

Grazie alla segnalazione di Nunzio, ho aggiornato immediatamente WordPress alla versione 2.3.2, perchè nelle versioni precedenti 2.3.X è presente una grave vulnerabilità che permette a chiunque di leggere interamente gli […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento