I ricercatori di sicurezza hanno riferito la scoperta di sei vulnerabilità gravi in WordPress. le vulnerabilità’ impatto è stato valutato come “alto”, il che significa che l'applicazione di patch il più presto possibile è altamente consigliabile.
Sei vulnerabilità di WordPress fisso in WordPress 5.2.4
Secondo Symantec di advisory di sicurezza, un utente malintenzionato potrebbe sfruttare le falle per eseguire codice di script arbitrari nel browser di un utente vulnerabili nel contesto del sito interessato. Questo potrebbe consentire al malintenzionato di rubare le credenziali di autenticazione basata su cookie e lanciare altri attacchi, come pure le restrizioni di bypass certa sicurezza per eseguire azioni non autorizzate.
Quali versioni di WordPress sono vulnerabili ai difetti? Le versioni precedenti di WordPress 5.2.4 sono vulnerabili. L'elenco delle tecnologie interessati inclusi tutte le versioni tra WordPress 3.0.1 e WordPress WordPress 5.2.3.
La buona notizia è che WordPress 5.2.4 è già disponibile, che affronta i problemi di sicurezza di sei.
Ecco un elenco delle vulnerabilità e i nomi dei ricercatori che li hanno scoperti:
- Evan Ricafort scoperto un problema in cui memorizzato XSS (scripting cross-site) potrebbe essere aggiunto tramite il Customizer.
- J.D. Grimes trovato e descritto un metodo di visualizzazione di messaggi non autenticati.
- Weston Ruter scoperto un modo per creare una stored XSS per iniettare JavaScript nel tag di stile.
- David Newman ha scoperto un metodo per avvelenare la cache delle richieste GET JSON tramite il Vary: intestazione origine.
- Eugene Kolodenker trovato un request forgery lato server nel modo in cui gli URL vengono convalidati.
- Ben Bidner del team di sicurezza di WordPress ha scoperto le questioni relative alla convalida referrer in admin.
Il team di WordPress ha ringraziato i ricercatori rivelare privatamente le vulnerabilità, che ha dato loro il tempo di risolverli prima di siti WordPress potevano essere attaccati.
Va notato che la WordPress 5.2.4 versione è “una release di sicurezza a ciclo breve“, che seguirà una release in versione 5.3.
gli utenti WordPress può scaricare WordPress 5.2.4 o visitare il sito Cruscotto – Aggiornamenti e fare clic su Aggiorna ora. Siti che supportano gli aggiornamenti automatici di fondo hanno già iniziato per l'aggiornamento automatico, il team di WordPress ha notato.