wp-logo

WordPress e il bug dei commenti

Postato il

wordpress-bugLa società finlandese Klikki Oy ha trovato un bug nel codice di WordPress 3, versione ampiamente superata dalle release più recenti del CMS più popolare, ma che continua a mettere a rischio un gran numero di siti. Secondo gli esperti l’86% di blog, portali e servizi basati su WordPress risulta potenzialmente affetto dal problema.

La falla, scoperta da Jouko Pynnönen di Klikki Oy, è stata individuata nel sistema di commenti di WordPress, che potrebbero ospitare codice javascript malevolo e che nelle impostazioni di default del CMS vengono pubblicati in automatico senza filtri o controlli imposti da parte dell’amministratore. Il codice JS potrebbe servire a compiere ogni genere di azione pericolosa per il sito sotto attacco, inclusa la creazione di un nuovo account admin e l’eliminazione delle possibilità di accesso al backend agli admin.

Nei siti che permettono commenti senza autenticazione (impostazione predefinita di WordPress), il baco potrebbe consentire a chiunque di inviare script dannosi all’interno di commenti che potrebbero reindirizzare i visitatori del sito, oppure potrebbero dirottare le sessioni di WordPress degli amministratori, creare nuovi account amministratori con password conosciute, cambiare le password di amministrazione, o lanciare il codice PHP dannoso sul server.

L’attuale versione di WordPress (versione 4.0), che è stato rilasciato nel mese di settembre, non è vulnerabile all’attacco. Tuttavia, WordPress ha rilasciato la scorsa settimana un aggiornamento di sicurezza per la versione 4.0 per risolvere le problemaitiche di vulnerabilità di scripting cross-site.

Fonti: puntoinformatico.it | arstechnica.com

Leave a Reply

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

%d blogger cliccano Mi Piace per questo: