Rivelata, e già risolta, una pericolosa falla 0-Day in WordPress

Rivelata, e già risolta, una pericolosa falla 0-Day in WordPress

Una falla nel codice di WordPress può portare un attaccante a prendere il controllo del webserver. La falla è stata resa nota prima di avvertire WordPress per pungolare il team di sviluppo a rilasciare una patch con tempestività

di Andrea Bai pubblicata il , alle 16:27 nel canale Sicurezza
 

Jouko Pynnöen, ricercatore per la società di sicurezza informatica finlandese Klikki Oy, ha individuato e reso nota una falla 0-day che interessa una parte del core engine del sistema di gestione dei contenuti WordPress. La falla rende i siti web che fanno uso di WordPress vulnerabili alla possibilità di esecuzione remota di codice sul web server per prenderne il pieno controllo.

La falla è di tipo Cross-Site Scripting ed è stata individuata all'interno del codice relativo al sistema di commenti di WordPress, le versioni del CMS interessate dal problema sono la 3.9.3, la 4.1.1, la 4.1.2 e la recente versione 4.2.

Pynnöen ha rivelato i dettagli della vulnerabilità, assieme ad un video e a una parte di codice proof-of-concept per sfruttare la falla, la scorsa domenica prima che il team di WordPress potesse rilasciare una patch. Il ricercatore ha voluto rendere nota la falla per mettere in guardia gli utenti di WordPress e perché per mesi ha tentato di comunicare al team di sviluppo del popolare CMS il problema, senza ricevere alcun riscontro. Inoltre gli sviluppatori WordPress hanno risolto questa settimana un'altra vulnerabilità simile, che però era stata notificata da Pynnöen circa 14 mesi fa.

La vulnerabilità permette ad un attaccante di iniettare codice JavaScript nella sezione dei commenti che appare al termine delle milioni di pagine di blog e siti di informazione che fanno uso di WordPress. Si tratta di un'azione che dovrebbe essere interdetta in circostanze normali. Questo però può portare l'attaccante a cambiare password, aggiungere nuovi amministratori o compiere altre azioni che di norma potrebbero essere condotte solamente dal legittimo amministratore del sito.

[HWUVIDEO="1795"]Vulnerabilità 0-Day in WordPress: grave ma già risolta[/HWUVIDEO]

L'esempio di attacco elaborato da Pynnöen invia un semplice codice JavaScript come commento, aggiungendo 66 mila caratteri o superando i 64KB di dimensione. Se il commento testuale supera queste dimensioni, verrà troncato quando inserito nel database. La troncatura del commento va a compromettere la generazione del codice HTML, lasciando la possibilità di integrare comandi con commenti successivi. Quando il commento viene processato da qualcuno che ha i diritti di amministratore con WordPress, il codice viene eseguito senza dare alcuna indicazione all'amministratore e lasciando così all'attaccante la possibilità di penetrare il sito.

Come funzionamento di default, WordPress non pubblica automaticamente il commento di un utente ad un posto fino a quando l'utente è stato approvato dall'amministratore del sito. Gli attaccanti possono scavalcare questa limitazione ingannando l'amministratore prima con un commento innocuo, che una volta apprrovato permetterebbe quindi di inviare altri commenti dannosi che verrebbero quindi automaticamente approvati e pubblicati.

WordPress ha provveduto a rilasciare una patch per eliminare la vulnerabilità, consigliando l'installazione della versione di WordPress 4.2.1, rilasciata poche ore fa, e di aggiornare tutti gli eventuali plug-in. Ricordiamo che dalla versione 3.7 WordPress ha introdotto gli aggiornamenti automatici: se correttamente configurati la versione 4.2.1 dovrebbe già essere stata installata. In ogni caso consigliamo agli amministratori di un sito che fa uso del CMS WordPress di verificare quale versione sia installata e di procedere all'aggiornamento nel caso in cui si riscontrasse una versione precedente alla 4.2.1.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Tasslehoff28 Aprile 2015, 22:56 #1
Ahimè anche Wordpress si sta avviando verso un triste destino, per certi versi si tratta di un progetto fantastico, specialmente dal punto di vista dell'interfaccia utente che letteralmente sbriciola qualsiasi cosa si sia mai vista in fatto di content management enterprise (a me capita di lavorare quotidianamente su portali IBM e Oracle e sembra di tornare all'età della pietra).

Purtroppo però il progetto sta diventando elefantiaco, e troppa gente lo usa in malomodo cercando di fargli fare "cose" che di per se Wordpress non dovrebbe fare (es siti generici).
A questo si aggiungono la solita foresta infinita di plugins più o meno obsoleti e una qualità del codice che, a detta di sviluppatori con una certa esperienza, si aggira tra il macabro e l'inguardabile...

A me pare che per tener vivo il progetto (tutt'altro che morto, sia chiaro) il team di sviluppo si stia concentrando più su supercazzole estetiche o di facciata, evitando di fare una seria e radicale revisione del codice.
Non è un caso se tantissimi operatori IT che l'hanno scelto per i propri blog personali l'abbiano abbandonato preferendo altri approcci molto più snelli e performanti (es staticizzatori tipo Jekyll)
GTKM28 Aprile 2015, 22:58 #2
Originariamente inviato da: Tasslehoff
...

Purtroppo però il progetto sta diventando elefantiaco, e troppa gente lo usa in malomodo cercando di fargli fare "cose" che di per se Wordpress non dovrebbe fare (es siti generici).
A questo si aggiungono la solita foresta infinita di plugins più o meno obsoleti e una qualità del codice che, a detta di sviluppatori con una certa esperienza, si aggira tra il macabro e l'inguardabile...

...


Anch'io ho letto parecchie lamentele riguardo la qualità del codice. A questo punto, inizio ad essere curioso

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^