WordPress: scoperta una falla vecchia di 4 anni

  • ForumDiscuti sul forum
  • PrecedenteSolo un Italiano su tre naviga in Rete ogni giorno
  • SuccessivoCrowdFundMe raccoglie capitali online per le startup
WordPress: scoperta una falla vecchia di 4 anni

Gli esperti di sicurezza della società scandinava Klikki avrebbero scoperto una vulnerabilità in WordPress che sarebbe stata presente all'interno dell'applicazione Open Source per ben 4 anni; la sua individuazione risalirebbe invece allo scorso settembre, rimanendo segreta in attesa della produzione di una patch da parte del team del CMS.

Nello specifico si tratterebbe di una falla presente praticamente in tutte le release del noto Blog Engine libero appartenenti alle serie 3; quest'ultima è stata rilasciata nel corso del 2010 mentre, fortunatamente, la versione 4 (e successive), resa disponibile proprio lo scorso settembre, non sarebbe interessata dalla stessa problematica.

Secondo gli analisti di Klikki, tale vulnerabilità dovrebbe essere associata ad un livello di criticità particolarmente elevato; essa riguarderebbe non meno dell'86% dei siti Internet basati su WordPress oggi in fase di produzione, questo per via del fatto che sarebbero attualmente ancora poche le istallazioni migrate verso l'aggiornamento 4.0

Il problema riguarderebbe nello specifico le funzionalità per i commenti, un utente malintenzionato potrebbe sfruttare l'apposito modulo per il loro invio allo scopo di spedire del codice malevolo che, se eseguito, permetterebbe all'attacccante di prendere il controllo di un sito Web creando un nuovo amministratore e modificando la password di quello vero.

Continua dopo la pubblicità...

Ma non basta, l'ulteriore rischio derivante da questa vulnerabilità sarebbe individuabile nella possibilità di inviare istruzioni basate su PHP per accedere ai privilegi necessari per il controllo del Web server; un'eventuale infezione potrebbe concludersi con successo tramite esecuzione automatica del codice malevolo nel momento in cui un amministratore visualizzasse i commenti ricevuti.

I commenti degli utenti

I commenti sono liberi: non è necessario iscriversi per poter commentare su questa pagina. Tutti i commenti, tuttavia, sottoposti alle linee guida di moderazione e prima di essere visibili devono essere approvati da un moderatore.