[NEWS] WordPress, nuova falla e nuovi update

[c.m.g]

martedì 28 aprile 2015

Spoiler:

Quote: Ricercatori individuano una vulnerabilità nel popolare framework Web, e WordPress risponde con la distribuzione di una versione aggiornata del codice

Roma - WordPress è affetto da una (nuova) vulnerabilità di sicurezza, una falla emersa di recente e che potrebbe portare alla compromissione completa di un sito Web basato sul CMS e non solo. Già disponibile una versione correttiva, dopo quelli che gli scopritori del bug definiscono "problemi di comunicazione" con il team di WordPress.

Il bug è di tipo cross-site scripting (XSS), e consiste nella gestione errata da parte di WordPress di commenti contenenti più di 64 Kilobyte di testo: basta la semplice visualizzazione di un commento contenente codice JavaScript malevolo da parte dell'admin di un sito WP, dicono i ricercatori, per portare all'esecuzione del suddetto codice con la possibilità di cambiare la password di amministratore, creare un nuovo account admin e altro ancora.

Per portare a termine con successo un attacco, però, un cyber-criminale deve fare in modo di ingannare l'admin di un sito WP facendosi approvare un primo commento innocuo e privo di codice potenzialmente malevolo; un ulteriore commento lasciato dallo stesso utente verrebbe approvato automaticamente portando all'esecuzione dello script malevolo. La falla è presente nelle ultime versioni di WordPress, e il team del CMS ha distribuito la release 4.2.1 poche ore dopo la pubblicazione dei dettagli della vulnerabilità. Gli sviluppatori dicono di essere stati informati dell'esistenza del bug solo con la "disclosure" da parte degli scopritori, mentre questi ultimi dicono di essere stati costretti a pubblicare i dettagli sulla falla XSS perché i loro precedenti tentativi di entrare in contatto con il team sono risultati vani.

Alfonso Maruccia






Fonte: Punto Informatico

[c.m.g]

Grave bug in WordPress, milioni di siti a rischio su webnews