• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Niente pesci d’aprile per WordPress, ma seri problemi di sicurezza

La piattaforma di content management system sta vivendo settimane difficili a causa di numerose vulnerabilità. L’ultima, risolta in queste ore, colpisce i form per i commenti, dove gli hacker possono inserire codice JavaScript maligno in grado anche di cambiare le credenziali di accesso. In precedenza era stato colpito il plugin SuperCache.

Pubblicato il 29 aprile 2015 da Redazione

Aprile sembra essere un mese travagliato per WordPress. La nota piattaforma di content management system deve infatti fronteggiare la seconda vulnerabilità individuata in pochi giorni. Dopo i problemi legati all’estensione Super Cache, svelati al mondo tre settimane fa, è stata infatti scoperta una falla inerente ai commenti. Per l’esattezza, la piattaforma sarebbe vulnerabile ad attacchi di cross-site scripting in caso un hacker inserisse righe di codice JavaScript maligno nel campo commenti. Queste vulnerabilità, molto comuni su siti Web dinamici, permettono l’esecuzione di comandi arbitrari da remoto e possono mettere a serio rischio sia la stabilità del sistema che la privacy degli utenti.

La falla è stata scoperta da Jouko Pynnönen di Klikki Oy, una società di sicurezza finlandese. La buona notizia è che WordPress ha già rilasciato un aggiornamento del suo Cms, invitando tutti i possessori di account a effettuare l’upgrade alla versione 4.2.1.

Il bug scoperto da Pynnönen permette agli hacker, come detto, di inserire codice maligno nei commenti: questo è in grado di attivarsi in automatico non appena l’amministratore del sito visualizza il form, sfruttando gli editor di temi e plugin. Il codice JavaScript conferisce all’attaccante anche il potere di cambiare la password di accesso, creare nuovi account di amministrazione e manipolare il contenuto dei siti. Per fortuna, però, la vulnerabilità almeno non sembra riguardare i normali lettori.

 

 

WordPress è la piattaforma di "editoria personale" più utilizzata al mondo: secondo stime della stessa società, il 23,8% dei siti attualmente online è realizzato proprio con questo sistema. Ma non necessariamente è uno dei più sicuri, né uno dei più veloci a risolvere le falle individuate da ricercatori e sviluppatori. A novembre 2014, hacker russi infettarono oltre centomila siti con il malware SoakSoak, mentre lo scorso 21 aprile la società ha finalmente chiuso un altro “buco”, segnalato inizialmente dalla comunità Web a febbraio 2014. Dopo, cioè, ben quattordici mesi.

 

Tag: sicurezza, malware, wordpress, web, vulnerabilità, cybersecurity

SICUREZZA

  • Gastone Nencini lascia Trend Micro, promosso Alessandro Fontana
  • Brugola dà un “giro di vite” contro le minacce digitali
  • WithSecure protegge anche le attività “esterne” di Microsoft Teams
  • Colpaccio di Fbi ed Europol, hanno “hackerato gli hacker” di Hive
  • Servizi di sicurezza informatica, il 90% passa dai partner

NEWS

  • Unify cambia (ancora) padrone e si appresta a passare a Mitel
  • Meta ancora in calo, il 2023 sarà “l’anno dell’efficienza”
  • Libero Mail e Virgilio Mail tornano alla normalità, previsti rimborsi
  • Sap sposta infrastruttura e offerta su Red Hat Enterprise Linux
  • Scomparso Gianfranco Lanci, storica guida di Acer e Lenovo
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Microsoft pronta a spendere 10 miliardi di dollari per OpenAI?
Ericsson prova a voltare pagina con un nuovo presidente
Consigli e previsioni per una migliore cybersicurezza nel 2023
Cominciano i tagli in Amazon, dipendenti sull’attenti
Veicoli connessi, crescita attesa grazie a 5G e guida assistita
Capgemini Italia è guidata da Monia Ferrari, Falleni promosso
Retelit insieme a Irideos, nuovo polo di servizi cloud e telco B2B
Mercato in trasformazione e focus sui servizi per Vertiv
Impresoft Group sceglie il suo Ceo, Alessandro Geraldi
Il cloud moltiplica il valore dei partner Isv di Microsoft
I Mac di Apple potrebbero abbandonare Broadcom
La data protection fatica ad adattarsi al mondo digitale
Vertiv ufficializza il passaggio: Albertazzi è il nuovo Ceo
Zucchetti acquisisce Piteco e Myrios da Dedagroup
Distributori, Icos compra le attività di cybersecurity di CreaPlus
E-commerce, truffe previste in aumento del 20% nel 2023
Più efficienza e prestazioni per i Lenovo ThinkSystem e ThinkAgile
Microsoft, rumors su undicimila licenziamenti previsti
Evolvono cultura e competenze sui cloud Pbx dei partner Nfon
Attacco ransomware al Guardian, violati dati dei dipendenti
Unify cambia (ancora) padrone e si appresta a passare a Mitel
Meta ancora in calo, il 2023 sarà “l’anno dell’efficienza”
Libero Mail e Virgilio Mail tornano alla normalità, previsti rimborsi
Sap sposta infrastruttura e offerta su Red Hat Enterprise Linux
Scomparso Gianfranco Lanci, storica guida di Acer e Lenovo
Intel taglia posti di lavoro e stipendi di mid-level e Ceo
Gastone Nencini lascia Trend Micro, promosso Alessandro Fontana
Oracle e Red Hat, vecchie concorrenti pronte a collaborare
WithSecure protegge anche le attività “esterne” di Microsoft Teams
Da Zscaler, Alessio Stellati passa alla guida di Rubrik
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2023 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968