Falla in Wordpress, milioni di siti vulnerabili

Il bug è presente anche nel tema di default della popolare piattaforma.

[ZEUS News - www.zeusnews.it - 08-05-2015]

C'è una falla nel popolare CMS Wordpress, una vulnerabilità XSS particolarmente semplice da sfruttare.

Il problema, stando a quanto rivela Sucuri (l'azienda che per prima ha dato l'allarme), sta in un file incluso nel pacchetto Genericons, usato da molti temi e plugin tra cui il tema di default di Wordpress, Twenty Fifteen, e il plugin JetPack.

L'ampia diffusione di questi due componenti fa sì che la vulnerabilità sia presente in milioni di siti web, i cui proprietari faranno quindi bene a correre prontamente ai ripari.

Ti raccomandiamo anche:

WordPress, già bucati 6.000 siti da un malware ruba-credenziali

Aggiornamento urgente per iPhone e iPad

Falla in Wordpress, a rischio 1 milione di siti

Il malware che ha infettato centomila siti con Wordpress

La vulnerabilità si verifca al livello del Document Object Model e, come spiega Sucuri, quale conseguenza «il codice lato client viene eseguito in maniera "inaspettata". Cioè, la pagina in sé (ossia la risposta HTTP) non cambia, ma il codice lato client contenuto nella pagina viene eseguito in maniera diversa a causa delle modifiche pericoloso che sono avvenute nell'ambiente DOM».

Vi sono comunque dei lati positivi in questa vicenda. Il primo è che, per sfruttare la falla, un malintenzionato deve sfruttare qualche tecnica di social engineering, convincendo la vittima a cliccare su un link che permetta di eseguire l'attacco.

Sondaggio

I bambini sempre più spesso entrano in contatto con la tecnologia a una tenera età (per giocare, comunicare e cercare informazioni), anche grazie alla diffusione di smartphone e tablet. Quale dovrebbe essere la maggiore preoccupazione dei genitori?

	Potrebbero visionare materiale inappropriato o visitare siti inopportuni.
	Potrebbero comunicare con sconosciuti o persone non ritenute affidabili.
	Potrebbero essere vittime di cyberbullismo, sui social network o altrove.
	Potrebbero spendere denaro online senza che i genitori lo sappiano, anche a causa delle app che richiedono acquisti online durante i giochi.
	Potrebbero diffondere dati personali (compresi foto e filmati) senza essere coscienti dei rischi.
	Potrebbero incorrere in difficoltà a relazionarsi con amici dal vivo, nascondendosi dietro relazioni disintermediate dal mezzo informatico.

Mostra i risultati (1546 voti)

Leggi i commenti (13)

Il secondo è che risolvere il problema, tutto sommato, è semplice. Innanzitutto Wordpress ha rilasciato una nuova versione, la 4.2.2, che si prende cura di tutti i dettagli.

Chi invece per qualche motivo non volesse o non potesse aggiornare non dovrà comunque fare molta fatica per mettersi al sicuro: sarà sufficiente cancellare il file genericons/example.html, che comunque non è necessario per il buon funzionamento del componente.

Come nota a margine, Sucuri fa notare che l'attacco è stato rilevato sul campo prima ancora che i dettagli venissero resi noti: evidentemente la sua esistenza era già nota da qualche tempo prima che l'azienda se ne accorgesse.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)

Gladiator

@gomez A volte accendere un componente che non è stato installato può risultare alquanto difficoltoso e non mi riferisco al monitor o alla tastiera... :roll:
11-5-2015 19:08

gomez

Insomma, al solito il problema è tra sedia e tastiera. :roll: Il fix sarebbe accendere il cervello, ma molti neppure sanno dove sia l'interruttore. :twisted: Mauro Leggi tutto
10-5-2015 11:31

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(12 commenti) SPID confermato fino al 2030, ma sarà a pagamento	News(23 commenti) Energia elettrica: il prezzo cambia ogni 15 minuti. Fasce orario stravolte, la sera costa di più

News(4 commenti)

TIM aumenta le tariffe di 1,99 euro: come bloccare il rincaro, accettarlo o recedere senza penali

News(10 commenti)

Debutta un nuovo operatore virtuale: Segnoverde Mobile offre 5G e tariffe da 3,99 euro al mese

News(16 commenti)

Euro digitale: tecnologia italiana per l'app e i pagamenti peer-to-peer

News(11 commenti)

Clothoff bloccata in Italia: il Garante Privacy ferma l'app che spoglia le persone con la IA

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: