• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Sicurezza, Wordpress si fa prendere in giro da Javascript

Nuova vulnerabilità per la piattaforma. La falla è presente nel modulo Shortcode Embeds del plugin Jetpack, che permette l’embedding di contenuti esterni nelle pagine Web. Gli hacker potrebbero inserire commenti utilizzando script malevoli per modificare gli account amministrativi e indirizzare gli utenti su siti compromessi. Ma gli sviluppatori hanno rilasciato una patch.

Pubblicato il 31 maggio 2016 da Redazione

Wordpress, la piattaforma Cms più diffusa al mondo, è di nuovo in pericolo. I ricercatori di Sucuri hanno pubblicato l’evidenza di una falla presente nel plugin Jetpack, estensione da circa un milione di installazioni attive che permette di ottimizzare in modo gratuito i siti Web, grazie a funzionalità di gestione e (sembra paradossale) di sicurezza. La buona notizia è che l’azienda che sviluppa Jetpack, la stessa di Wordpress, ha rilasciato una nuova versione (4.0.3) contenente una patch in grado di risolvere il problema. Il bug è rimasto in circolazione sin dall’avvento della release 2.0, quindi dal 2012, ma per fortuna sembra che non si siano verificati exploit. La vulnerabilità è di tipo cross-site scripting (Xss) persistente e riguarda il modulo Shortcode Embeds di Jetpack, che permette di inserire video, immagini, documenti e altri contenuti esterni nelle pagine create con Wordpress.

La falla, sottolineano i ricercatori di Sucuri, può essere facilmente sfruttata per aggiungere codice Javascript malevolo nei commenti. Il principale problema è che questo linguaggio di programmazione è persistente e, quindi, lo script dannoso viene eseguito ogni volta che l’utente visualizza il commento “incriminato”.

Un hacker potrebbe in questo modo accedere agli account degli amministratori, modificandoli, inserire spam Seo per le pagine colpite e addirittura indirizzare in automatico i visitatori su altri siti Web compromessi. Wordpress prevede un sistema di aggiornamento automatico dei plugin, che consente di ricevere le ultime versioni rilasciate dagli sviluppatori.

In caso non si riesca a ricevere l’annuncio di update automatico, è possibile procedere in modo manuale tramite la Dashboard del Cms o utilizzando un Ftp. I creatori di Jetpack hanno pubblicato una serie di Faq, disponibili a questa pagina, per aiutare i clienti a risolvere in modo definitivo il problema. Ovviamente, i siti che non sfruttano le funzionalità del plugin non possono essere colpiti da questa nuova vulnerabilità.

 

Tag: sicurezza, wordpress, jetpack

SICUREZZA

  • Gastone Nencini lascia Trend Micro, promosso Alessandro Fontana
  • Brugola dà un “giro di vite” contro le minacce digitali
  • WithSecure protegge anche le attività “esterne” di Microsoft Teams
  • Colpaccio di Fbi ed Europol, hanno “hackerato gli hacker” di Hive
  • Servizi di sicurezza informatica, il 90% passa dai partner

NEWS

  • Unify cambia (ancora) padrone e si appresta a passare a Mitel
  • Meta ancora in calo, il 2023 sarà “l’anno dell’efficienza”
  • Libero Mail e Virgilio Mail tornano alla normalità, previsti rimborsi
  • Sap sposta infrastruttura e offerta su Red Hat Enterprise Linux
  • Scomparso Gianfranco Lanci, storica guida di Acer e Lenovo
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Microsoft pronta a spendere 10 miliardi di dollari per OpenAI?
Ericsson prova a voltare pagina con un nuovo presidente
Consigli e previsioni per una migliore cybersicurezza nel 2023
Cominciano i tagli in Amazon, dipendenti sull’attenti
Veicoli connessi, crescita attesa grazie a 5G e guida assistita
Capgemini Italia è guidata da Monia Ferrari, Falleni promosso
Retelit insieme a Irideos, nuovo polo di servizi cloud e telco B2B
Mercato in trasformazione e focus sui servizi per Vertiv
Impresoft Group sceglie il suo Ceo, Alessandro Geraldi
Il cloud moltiplica il valore dei partner Isv di Microsoft
I Mac di Apple potrebbero abbandonare Broadcom
La data protection fatica ad adattarsi al mondo digitale
Vertiv ufficializza il passaggio: Albertazzi è il nuovo Ceo
Zucchetti acquisisce Piteco e Myrios da Dedagroup
Distributori, Icos compra le attività di cybersecurity di CreaPlus
E-commerce, truffe previste in aumento del 20% nel 2023
Più efficienza e prestazioni per i Lenovo ThinkSystem e ThinkAgile
Microsoft, rumors su undicimila licenziamenti previsti
Evolvono cultura e competenze sui cloud Pbx dei partner Nfon
Attacco ransomware al Guardian, violati dati dei dipendenti
Unify cambia (ancora) padrone e si appresta a passare a Mitel
Meta ancora in calo, il 2023 sarà “l’anno dell’efficienza”
Libero Mail e Virgilio Mail tornano alla normalità, previsti rimborsi
Sap sposta infrastruttura e offerta su Red Hat Enterprise Linux
Scomparso Gianfranco Lanci, storica guida di Acer e Lenovo
Intel taglia posti di lavoro e stipendi di mid-level e Ceo
Gastone Nencini lascia Trend Micro, promosso Alessandro Fontana
Oracle e Red Hat, vecchie concorrenti pronte a collaborare
WithSecure protegge anche le attività “esterne” di Microsoft Teams
Da Zscaler, Alessio Stellati passa alla guida di Rubrik
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2023 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968