• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Niente pesci d’aprile per WordPress, ma seri problemi di sicurezza

La piattaforma di content management system sta vivendo settimane difficili a causa di numerose vulnerabilità. L’ultima, risolta in queste ore, colpisce i form per i commenti, dove gli hacker possono inserire codice JavaScript maligno in grado anche di cambiare le credenziali di accesso. In precedenza era stato colpito il plugin SuperCache.

Pubblicato il 29 aprile 2015 da Redazione

Aprile sembra essere un mese travagliato per WordPress. La nota piattaforma di content management system deve infatti fronteggiare la seconda vulnerabilità individuata in pochi giorni. Dopo i problemi legati all’estensione Super Cache, svelati al mondo tre settimane fa, è stata infatti scoperta una falla inerente ai commenti. Per l’esattezza, la piattaforma sarebbe vulnerabile ad attacchi di cross-site scripting in caso un hacker inserisse righe di codice JavaScript maligno nel campo commenti. Queste vulnerabilità, molto comuni su siti Web dinamici, permettono l’esecuzione di comandi arbitrari da remoto e possono mettere a serio rischio sia la stabilità del sistema che la privacy degli utenti.

La falla è stata scoperta da Jouko Pynnönen di Klikki Oy, una società di sicurezza finlandese. La buona notizia è che WordPress ha già rilasciato un aggiornamento del suo Cms, invitando tutti i possessori di account a effettuare l’upgrade alla versione 4.2.1.

Il bug scoperto da Pynnönen permette agli hacker, come detto, di inserire codice maligno nei commenti: questo è in grado di attivarsi in automatico non appena l’amministratore del sito visualizza il form, sfruttando gli editor di temi e plugin. Il codice JavaScript conferisce all’attaccante anche il potere di cambiare la password di accesso, creare nuovi account di amministrazione e manipolare il contenuto dei siti. Per fortuna, però, la vulnerabilità almeno non sembra riguardare i normali lettori.

 

 

WordPress è la piattaforma di "editoria personale" più utilizzata al mondo: secondo stime della stessa società, il 23,8% dei siti attualmente online è realizzato proprio con questo sistema. Ma non necessariamente è uno dei più sicuri, né uno dei più veloci a risolvere le falle individuate da ricercatori e sviluppatori. A novembre 2014, hacker russi infettarono oltre centomila siti con il malware SoakSoak, mentre lo scorso 21 aprile la società ha finalmente chiuso un altro “buco”, segnalato inizialmente dalla comunità Web a febbraio 2014. Dopo, cioè, ben quattordici mesi.

 

Tag: sicurezza, malware, wordpress, web, vulnerabilità, cybersecurity

SICUREZZA

  • Dati di sicurezza riuniti in un solo luogo con Amazon Security Lake
  • Cybercrimine, carenza di competenze, AI: tre rischi legati fra loro
  • Sababa Security prepara l’uscita dalla Borsa e la fusione con Hwg
  • Bludis punta sulla cybersicurezza “italiana” di Gyala
  • Acronis mette insieme backup, rilevamento e risposta agli attacchi

NEWS

  • Il cloud di Hpe Greenlake aiuta a ridurre l’impronta carbonica
  • Il phishing fa danni su larga scala con i modelli linguistici di AI
  • Canon Italia potenzia la squadra marketing e vendite
  • Il bersaglio preferito dei cybercriminali è diventato il backup
  • Monitoraggio ambienti IT e OT, si rafforza l’asse Siemens-Paessler
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Con il 5G arriveranno vantaggi anche per l'ambiente
LinkedIn pianifica licenziamenti ma anche nuove assunzioni
Personalizzato e omnicanale il viaggio con Swarovski e Levi's
Qualcomm accelera sui veicoli connessi con l’acquisto di Autotalks
Workday, focus sulle medie imprese con un nuovo country manager
Alert senza falsi positivi, Forescout Xdr distribuito da Ingecom
Sap e Siemens contro il Data Act, un rischio per la competitività?
Cyberattacco da record su Capita: costerà fino a 20 milioni di sterline
Gruppo Olidata guarda al futuro con una doppia acquisizione
Siemens Xcelerator velocizza la transizione verso i digital twin
Microsoft e Google, prosegue la corsa all’AI nelle ricerche Web
Intelligenza artificiale, un bene o un male per il mondo del lavoro?
Present, il percorso di trasformazione di un partner Sap
CoachHub aggiunge un presidio in Italia, alla guida Gaetano Falcone
Innovazione, nel 70% delle aziende medio-grandi un reparto ad hoc
Mossa a sorpresa di Alibaba Group, si separa dal suo cloud computing
Crm, le ragioni di un perché. Soprattutto per una Pmi
E-commerce, in Italia solo il 15% sceglie i punti di ritiro
Federico Francini torna alla guida di Cornerstone in Italia
Il retail è più personalizzato e vincente se sa usare bene i dati
Il cloud di Hpe Greenlake aiuta a ridurre l’impronta carbonica
Il phishing fa danni su larga scala con i modelli linguistici di AI
Canon Italia potenzia la squadra marketing e vendite
Il bersaglio preferito dei cybercriminali è diventato il backup
Monitoraggio ambienti IT e OT, si rafforza l’asse Siemens-Paessler
Chip, la Francia mette 2,9 miliardi di euro per potenziare la produzione
Notebook e tablet Fujitsu si rinnovano con i più recenti chip Intel
Tassa degli operatori telco sulle Big Tech, Paesi Ue divisi
Intelligenza artificiale, un rischio pari alla bomba atomica?
L’assistente virtuale di Juniper si apre a ChatGPT e ai dati di Zoom
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2023 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968