Sicurezza, Wordpress si fa prendere in giro da Javascript
Nuova vulnerabilità per la piattaforma. La falla è presente nel modulo Shortcode Embeds del plugin Jetpack, che permette l’embedding di contenuti esterni nelle pagine Web. Gli hacker potrebbero inserire commenti utilizzando script malevoli per modificare gli account amministrativi e indirizzare gli utenti su siti compromessi. Ma gli sviluppatori hanno rilasciato una patch.
Pubblicato il 31 maggio 2016 da Redazione
Wordpress, la piattaforma Cms più diffusa al mondo, è di nuovo in pericolo. I ricercatori di Sucuri hanno pubblicato l’evidenza di una falla presente nel plugin Jetpack, estensione da circa un milione di installazioni attive che permette di ottimizzare in modo gratuito i siti Web, grazie a funzionalità di gestione e (sembra paradossale) di sicurezza. La buona notizia è che l’azienda che sviluppa Jetpack, la stessa di Wordpress, ha rilasciato una nuova versione (4.0.3) contenente una patch in grado di risolvere il problema. Il bug è rimasto in circolazione sin dall’avvento della release 2.0, quindi dal 2012, ma per fortuna sembra che non si siano verificati exploit. La vulnerabilità è di tipo cross-site scripting (Xss) persistente e riguarda il modulo Shortcode Embeds di Jetpack, che permette di inserire video, immagini, documenti e altri contenuti esterni nelle pagine create con Wordpress.
La falla, sottolineano i ricercatori di Sucuri, può essere facilmente sfruttata per aggiungere codice Javascript malevolo nei commenti. Il principale problema è che questo linguaggio di programmazione è persistente e, quindi, lo script dannoso viene eseguito ogni volta che l’utente visualizza il commento “incriminato”.
Un hacker potrebbe in questo modo accedere agli account degli amministratori, modificandoli, inserire spam Seo per le pagine colpite e addirittura indirizzare in automatico i visitatori su altri siti Web compromessi. Wordpress prevede un sistema di aggiornamento automatico dei plugin, che consente di ricevere le ultime versioni rilasciate dagli sviluppatori.
In caso non si riesca a ricevere l’annuncio di update automatico, è possibile procedere in modo manuale tramite la Dashboard del Cms o utilizzando un Ftp. I creatori di Jetpack hanno pubblicato una serie di Faq, disponibili a questa pagina, per aiutare i clienti a risolvere in modo definitivo il problema. Ovviamente, i siti che non sfruttano le funzionalità del plugin non possono essere colpiti da questa nuova vulnerabilità.
SICUREZZA
- Gastone Nencini lascia Trend Micro, promosso Alessandro Fontana
- Brugola dà un “giro di vite” contro le minacce digitali
- WithSecure protegge anche le attività “esterne” di Microsoft Teams
- Colpaccio di Fbi ed Europol, hanno “hackerato gli hacker” di Hive
- Servizi di sicurezza informatica, il 90% passa dai partner
NEWS
- Unify cambia (ancora) padrone e si appresta a passare a Mitel
- Meta ancora in calo, il 2023 sarà “l’anno dell’efficienza”
- Libero Mail e Virgilio Mail tornano alla normalità, previsti rimborsi
- Sap sposta infrastruttura e offerta su Red Hat Enterprise Linux
- Scomparso Gianfranco Lanci, storica guida di Acer e Lenovo
