Sicurezza, Wordpress si fa prendere in giro da Javascript
Nuova vulnerabilità per la piattaforma. La falla è presente nel modulo Shortcode Embeds del plugin Jetpack, che permette l’embedding di contenuti esterni nelle pagine Web. Gli hacker potrebbero inserire commenti utilizzando script malevoli per modificare gli account amministrativi e indirizzare gli utenti su siti compromessi. Ma gli sviluppatori hanno rilasciato una patch.
Pubblicato il 31 maggio 2016 da Redazione
Wordpress, la piattaforma Cms più diffusa al mondo, è di nuovo in pericolo. I ricercatori di Sucuri hanno pubblicato l’evidenza di una falla presente nel plugin Jetpack, estensione da circa un milione di installazioni attive che permette di ottimizzare in modo gratuito i siti Web, grazie a funzionalità di gestione e (sembra paradossale) di sicurezza. La buona notizia è che l’azienda che sviluppa Jetpack, la stessa di Wordpress, ha rilasciato una nuova versione (4.0.3) contenente una patch in grado di risolvere il problema. Il bug è rimasto in circolazione sin dall’avvento della release 2.0, quindi dal 2012, ma per fortuna sembra che non si siano verificati exploit. La vulnerabilità è di tipo cross-site scripting (Xss) persistente e riguarda il modulo Shortcode Embeds di Jetpack, che permette di inserire video, immagini, documenti e altri contenuti esterni nelle pagine create con Wordpress.
La falla, sottolineano i ricercatori di Sucuri, può essere facilmente sfruttata per aggiungere codice Javascript malevolo nei commenti. Il principale problema è che questo linguaggio di programmazione è persistente e, quindi, lo script dannoso viene eseguito ogni volta che l’utente visualizza il commento “incriminato”.
Un hacker potrebbe in questo modo accedere agli account degli amministratori, modificandoli, inserire spam Seo per le pagine colpite e addirittura indirizzare in automatico i visitatori su altri siti Web compromessi. Wordpress prevede un sistema di aggiornamento automatico dei plugin, che consente di ricevere le ultime versioni rilasciate dagli sviluppatori.
In caso non si riesca a ricevere l’annuncio di update automatico, è possibile procedere in modo manuale tramite la Dashboard del Cms o utilizzando un Ftp. I creatori di Jetpack hanno pubblicato una serie di Faq, disponibili a questa pagina, per aiutare i clienti a risolvere in modo definitivo il problema. Ovviamente, i siti che non sfruttano le funzionalità del plugin non possono essere colpiti da questa nuova vulnerabilità.
SICUREZZA
- Dati di sicurezza riuniti in un solo luogo con Amazon Security Lake
- Cybercrimine, carenza di competenze, AI: tre rischi legati fra loro
- Sababa Security prepara l’uscita dalla Borsa e la fusione con Hwg
- Bludis punta sulla cybersicurezza “italiana” di Gyala
- Acronis mette insieme backup, rilevamento e risposta agli attacchi
NEWS
- Il cloud di Hpe Greenlake aiuta a ridurre l’impronta carbonica
- Il phishing fa danni su larga scala con i modelli linguistici di AI
- Canon Italia potenzia la squadra marketing e vendite
- Il bersaglio preferito dei cybercriminali è diventato il backup
- Monitoraggio ambienti IT e OT, si rafforza l’asse Siemens-Paessler
