Falla in Wordpress, milioni di siti vulnerabili

Il bug è presente anche nel tema di default della popolare piattaforma.



[ZEUS News - www.zeusnews.it - 08-05-2015]

wordpress falla xss

C'è una falla nel popolare CMS Wordpress, una vulnerabilità XSS particolarmente semplice da sfruttare.

Il problema, stando a quanto rivela Sucuri (l'azienda che per prima ha dato l'allarme), sta in un file incluso nel pacchetto Genericons, usato da molti temi e plugin tra cui il tema di default di Wordpress, Twenty Fifteen, e il plugin JetPack.

L'ampia diffusione di questi due componenti fa sì che la vulnerabilità sia presente in milioni di siti web, i cui proprietari faranno quindi bene a correre prontamente ai ripari.

La vulnerabilità si verifca al livello del Document Object Model e, come spiega Sucuri, quale conseguenza «il codice lato client viene eseguito in maniera "inaspettata". Cioè, la pagina in sé (ossia la risposta HTTP) non cambia, ma il codice lato client contenuto nella pagina viene eseguito in maniera diversa a causa delle modifiche pericoloso che sono avvenute nell'ambiente DOM».

Vi sono comunque dei lati positivi in questa vicenda. Il primo è che, per sfruttare la falla, un malintenzionato deve sfruttare qualche tecnica di social engineering, convincendo la vittima a cliccare su un link che permetta di eseguire l'attacco.

Sondaggio
I bambini sempre più spesso entrano in contatto con la tecnologia a una tenera età (per giocare, comunicare e cercare informazioni), anche grazie alla diffusione di smartphone e tablet. Quale dovrebbe essere la maggiore preoccupazione dei genitori?
Potrebbero visionare materiale inappropriato o visitare siti inopportuni.
Potrebbero comunicare con sconosciuti o persone non ritenute affidabili.
Potrebbero essere vittime di cyberbullismo, sui social network o altrove.
Potrebbero spendere denaro online senza che i genitori lo sappiano, anche a causa delle app che richiedono acquisti online durante i giochi.
Potrebbero diffondere dati personali (compresi foto e filmati) senza essere coscienti dei rischi.
Potrebbero incorrere in difficoltà a relazionarsi con amici dal vivo, nascondendosi dietro relazioni disintermediate dal mezzo informatico.

Mostra i risultati (1333 voti)
Leggi i commenti (13)

Il secondo è che risolvere il problema, tutto sommato, è semplice. Innanzitutto Wordpress ha rilasciato una nuova versione, la 4.2.2, che si prende cura di tutti i dettagli.

Chi invece per qualche motivo non volesse o non potesse aggiornare non dovrà comunque fare molta fatica per mettersi al sicuro: sarà sufficiente cancellare il file genericons/example.html, che comunque non è necessario per il buon funzionamento del componente.

Come nota a margine, Sucuri fa notare che l'attacco è stato rilevato sul campo prima ancora che i dettagli venissero resi noti: evidentemente la sua esistenza era già nota da qualche tempo prima che l'azienda se ne accorgesse.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Falla in Wordpress, a rischio 1 milione di siti
Il malware che ha infettato centomila siti con Wordpress
WordPress troneggia tra i blogger
Microsoft trasforma Windows Live per far concorrenza a Facebook

Commenti all'articolo (2)

@gomez A volte accendere un componente che non è stato installato può risultare alquanto difficoltoso e non mi riferisco al monitor o alla tastiera... :roll:
11-5-2015 19:08

Insomma, al solito il problema è tra sedia e tastiera. :roll: Il fix sarebbe accendere il cervello, ma molti neppure sanno dove sia l'interruttore. :twisted: Mauro Leggi tutto
10-5-2015 11:31

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te gli scanner aeroportuali...
Contribuiscono efficacemente a combattere il terrorismo.
Violano la privacy senza migliorare la sicurezza.

Mostra i risultati (2601 voti)
Luglio 2020
Windows 10 rinnova il menu Start
Arriva Edge, e i computer rallentano
Giugno 2020
Favicon sfruttate per rubare i dati delle carte di credito
Windows 10, dov'è finita l'opzione per rimandare gli aggiornamenti?
Windows 10, l'ultimo aggiornamento riavvia i Pc a forza
La Casa Bianca e il video delle cataste di mattoni
Pornografia, il Parlamento prepara un filtro al web
La foto che paralizza alcuni smartphone Android
Il trucco che elimina la pubblicità da YouTube
L'Italia censura il progetto Gutenberg
Immuni, chiedete e vi sarà dato
Altro che Immuni: il Bluetooth va tenuto spento!
Maggio 2020
Windows 10, rilasciato l'update di maggio. Microsoft: ''Non aggiornate''
Immuni, rilasciati i sorgenti
Da Samsung lo smartphone da usare in guerra
Tutti gli Arretrati


web metrics