Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

WordPress: perché aggiornare alla versione 5.1.1

WordPress 5.1 è affetto da una vulnerabilità CSRF, fondamentale aggiornare alla versione 5.1.1.
WordPress: perché aggiornare alla versione 5.1.1
WordPress 5.1 è affetto da una vulnerabilità CSRF, fondamentale aggiornare alla versione 5.1.1.
Link copiato negli appunti

Una nuova vulnerabilità è stata scoperta nel codice di WordPress. Si tratta di un bug che consente ad un attaccante di eseguire del codice da remoto, tale falla è quindi molto seria e i gestori dei siti Web animati da WordPress dovrebbero aggiornare al più presto all'ultima build disponibile.

La vulnerabilità è stata rilevata dai ricercatori di RIPS Technologies, un'azienda tedesca di sicurezza informatica. Si tratta di una forma di cross-site request forgery (CSRF) ovvero un bug a cui sono esposti i siti web dinamici quando sono progettati per ricevere richieste da un client senza meccanismi per controllare se la richiesta sia stata inviata intenzionalmente o no.

In buona sostanza l'attaccante fa in modo che l'utente vittima invii involontariamente una richiesta HTTP dal suo browser, tramite la navigazione su di un sito Web appositamente confezionato, all'installazione di WordPress dove si è precedentemente autenticato.

Il CMS ha quindi la certezza che la richiesta provenga da un utente affidabile e sostanzialmente esegue ogni azione richiesta. Permettendo quindi all'attaccante di accedere a WordPress in modo non autorizzato senza che l'amministratore se ne accorga.

Il bug individuato dal team di RIPS Technologies può essere sfruttato tramite la pubblicazione di link "trappola" nei commenti. WordPress non esegue infatti una validazione con il CSRF quando gli utenti pubblicano dei nuovi commenti, questo perché tali controlli potrebbero andare a disturbare il funzionamento di alcune feature come trackback o pingback.

L'assenza di contromisure potrebbe però creare la situazione ideale per un attacco simile a quello descritto. Fortunatamente tale vulnerabilità sarebbe stata già corretta dal team del CMS pubblicando di recente una nuova maintenance release, Wordpres 5.1.1, che contiene l'hotfix per la falla.

Via RIPS Technologies

Ti consigliamo anche