Falla in Wordpress, milioni di siti vulnerabili

Il bug è presente anche nel tema di default della popolare piattaforma.



[ZEUS News - www.zeusnews.it - 08-05-2015]

wordpress falla xss

C'è una falla nel popolare CMS Wordpress, una vulnerabilità XSS particolarmente semplice da sfruttare.

Il problema, stando a quanto rivela Sucuri (l'azienda che per prima ha dato l'allarme), sta in un file incluso nel pacchetto Genericons, usato da molti temi e plugin tra cui il tema di default di Wordpress, Twenty Fifteen, e il plugin JetPack.

L'ampia diffusione di questi due componenti fa sì che la vulnerabilità sia presente in milioni di siti web, i cui proprietari faranno quindi bene a correre prontamente ai ripari.

La vulnerabilità si verifca al livello del Document Object Model e, come spiega Sucuri, quale conseguenza «il codice lato client viene eseguito in maniera "inaspettata". Cioè, la pagina in sé (ossia la risposta HTTP) non cambia, ma il codice lato client contenuto nella pagina viene eseguito in maniera diversa a causa delle modifiche pericoloso che sono avvenute nell'ambiente DOM».

Vi sono comunque dei lati positivi in questa vicenda. Il primo è che, per sfruttare la falla, un malintenzionato deve sfruttare qualche tecnica di social engineering, convincendo la vittima a cliccare su un link che permetta di eseguire l'attacco.

Sondaggio
I bambini sempre più spesso entrano in contatto con la tecnologia a una tenera età (per giocare, comunicare e cercare informazioni), anche grazie alla diffusione di smartphone e tablet. Quale dovrebbe essere la maggiore preoccupazione dei genitori?
Potrebbero visionare materiale inappropriato o visitare siti inopportuni.
Potrebbero comunicare con sconosciuti o persone non ritenute affidabili.
Potrebbero essere vittime di cyberbullismo, sui social network o altrove.
Potrebbero spendere denaro online senza che i genitori lo sappiano, anche a causa delle app che richiedono acquisti online durante i giochi.
Potrebbero diffondere dati personali (compresi foto e filmati) senza essere coscienti dei rischi.
Potrebbero incorrere in difficoltà a relazionarsi con amici dal vivo, nascondendosi dietro relazioni disintermediate dal mezzo informatico.

Mostra i risultati (1385 voti)
Leggi i commenti (13)

Il secondo è che risolvere il problema, tutto sommato, è semplice. Innanzitutto Wordpress ha rilasciato una nuova versione, la 4.2.2, che si prende cura di tutti i dettagli.

Chi invece per qualche motivo non volesse o non potesse aggiornare non dovrà comunque fare molta fatica per mettersi al sicuro: sarà sufficiente cancellare il file genericons/example.html, che comunque non è necessario per il buon funzionamento del componente.

Come nota a margine, Sucuri fa notare che l'attacco è stato rilevato sul campo prima ancora che i dettagli venissero resi noti: evidentemente la sua esistenza era già nota da qualche tempo prima che l'azienda se ne accorgesse.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Aggiornamento urgente per iPhone e iPad
Falla in Wordpress, a rischio 1 milione di siti
Il malware che ha infettato centomila siti con Wordpress
WordPress troneggia tra i blogger
Microsoft trasforma Windows Live per far concorrenza a Facebook

Commenti all'articolo (2)

@gomez A volte accendere un componente che non è stato installato può risultare alquanto difficoltoso e non mi riferisco al monitor o alla tastiera... :roll:
11-5-2015 19:08

Insomma, al solito il problema è tra sedia e tastiera. :roll: Il fix sarebbe accendere il cervello, ma molti neppure sanno dove sia l'interruttore. :twisted: Mauro Leggi tutto
10-5-2015 11:31

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A quali condizioni lavoreresti da casa anziché in ufficio?
Accetterei uno stipendio inferiore perché risparmierei sui trasporti e in tempo.
Vorrei uno stipendio maggiore perché l'azienda risparmierebbe su locali, strumenti, sicurezza.
Allo stesso stipendio.
Non rinuncerei al lavoro in ufficio per nulla al mondo.

Mostra i risultati (2543 voti)
Settembre 2021
Microsoft cede: Windows 11 si installa anche su hardware incompatibile
Windows 10, l'update di settembre impedisce di stampare
Truffatori scavalcano le difese informatiche nella maniera più semplice
Apple svela gli iPhone “più Pro” di sempre
Ripristinare il vecchio menu Start in Windows 11
Uno spot mette Windows 11 KO
L'auto elettrica di Apple
Microsoft non bloccherà Windows 11 sui PC non supportati
Windows 11, svelata la data di lancio
Agosto 2021
La barra di Windows 11 è di proposito peggiore di quella di Windows 10
Violati i server TIM, password degli utenti a rischio
Windows 11, disponibile la prima ISO ufficiale
Microsoft: disabilitate il sistema di stampa di Windows (di nuovo)
Google taglia gli stipendi a chi sceglie il telelavoro
Gli iPhone scansioneranno tutte le foto alla ricerca di pedopornografia
Tutti gli Arretrati
Accadde oggi - 26 settembre


web metrics