WordPress è senza ombra di dubbio una delle piattaforme maggiormente utilizzate dall’utenza in tutto il mondo per la realizzazione di siti Web. Tenendo conto di tale dato la vulnerabilità scovata proprio nel corso delle ultime ore risulta essere ancor più grave di quanto già non lo sia.
Milioni di siti Internet basati su WordPress rischiano infatti di subire un attacco hijacking a causa di una falla presente nell’installazione predefinita del celebre CMS.
Nel dettaglio, il bug scovato è di tipo XSS (Cross-Site Scripting) ed è stato individuato nel pacchetto Genericons utilizzato da diversi temi e plugin tra cui TwentyFifteen, disponibile di default, e JetPack, installato oltre un milione di volte.
La vulnerabilità XSS è di DOM-based quindi risiede nel Document Object Model responsabile della visualizzazione di testo, immagini e link nel browser. Questo sta a significare che l’attacco viene eseguito sul lato client e risulta essere decisamente difficile da bloccare poiché la pagina non subisce modifiche ma il bug permette di eseguire codice JavaScript se l’utente ha effettuato l’accesso con le credenziali di amministratore.
L’exploit richiede quindi semplici tecniche di ingegneria sociale, come ad esempio una email o un messaggio che contiene un link, ma per fortuna risulta altrettanto semplice da risolvere. Basta infatti eliminare i file example.html nel package Genericons.
La soluzione alla vulnerabilità è stata applicata alla versione 4.2.2 di WordPress già disponibile per il download. I webmaster interessati dovrebbero dunque provvedere quanto prima all’installazione della nuova versione del CSM al fine di evitare ogni tipo di problematica. L’aggiornamento risolve anche altri 13 bug. Tutti i temi e i plugin presenti sul sito WordPress.org sono inoltre stati aggiornati per rimuovere il file incriminato e non essenziale.
[Photo Credits | 360b / Shutterstock.com]
Via | Engadget