SICUREZZA INFORMATICA
Home news Sicurezza informatica Comunicato

Si aggiorna WordPress e risolve la vulnerabilità MailPoetRatio

Gli esperti di WordPress, il famoso CMS utilizzato da centinaia di migliaia di siti web in tutto il mondo, ha lanciato la sua nuova versione 4.0.1 che include la soluzione ad una vulnerabilità XSS o Cross Site Scripting che permetterebbe ad estranei di impossessarsi del nostro blog.
del 25/11/14 -

Una nuova vulnerabilità di WordPress

Questo nuovo problema di sicurzza di WordPress colpisce le versioni comprese tra la 3.0 e la 3.9.2 ed è stato scoperto dal ricercatore Jouko Pynnonen dell'azienda Klikki Oy IT come si legge nel presente comunicato:

"Il JavaScript inserito in un commento viene lanciato quando l'utente obiettivo lo visualizza, in un post singolo o in una pagina di commenti... Attraverso i links pubblicati nel commento, l'hacker potrebbe facilmente entrare nel Dashboard di WordPress".

In un secondo momento, il caricamento di JavaScript verrebbe eseguito offendo a chi attacca i privilegi di Amministratore, appena il proprietario del sito accede alla sezione 'Commenti' proprio per moderare quelli appena pubblicati con la minaccia nascosta.

Per esempio, questo exploit PoC (prova di concetto) realizzerá per prima cosa una pulizia delle attività dello script inserito dalla base dati. Poi, eseguirà altre operazini nella zona amministrativa, cambiando la password dell'utente principale, aggiungendo nuovi profili Amministratore e usando il sistema di Editing per scrivere codice PHP direttamente nel server.

La zona commenti di Wordpress

Tutto ciò avviene in secondo piano, quindi l'utente non avrá il bencé minimo sentore di ciò che sta succedendo alle sue spalle. L'hacker praticamente erediterá tutti i privilegi del primo utente che accede alDashboard per moderare il commento.

Per fortuna, questo exploit viene lanciato solo dalla zona dei Commenti e se l'amministratore si muove sulle altre pagine del suo WordPress il meccanismo non si attiverà.

Quante piattaforme del CMS sono a rischio?

Parliamo di circa l'85% delle installazioni di Wordpress oggi in uso in tutto il mondo, cioè quelle che usano, come detto, le versioni non aggiornate dalla 3.0 alla 3.9.2, vulnerabili a MailPoet.

Come possiamo difenderci?

Evidentemente, la prima cosa da fare è installare la nuova versione, o la 4.0 o la 4.1, che inoltre ripara una ventina circa di altri problemi di sicurezza, rivelati nell'edizione precedente.

Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Comunicazione Web
Responsabile account:
 Alessandro Elia (Redattore)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Stampa ID: 240266