Corretta una vulnerabilità XSS in WordPress

Il team di sviluppo di WordPress, il CMS (content management system) più utilizzato al mondo (prima di Joomla e di Drupal; ved. questo nostro articolo) è stato costretto ad un repentino rilascio della versione 3.3.1 della piattaforma per la gestione di blog. Motivo? La risoluzione di un pericoloso bug di sicurezza che può esporre ad attacchi di tipo cross-site scripting (XSS).

Stando a quanto riferito da Aditya Modha e Samir Shah, autori della scoperta, la vulnerabilità affliggerebbe tutte le istanze di WordPress installate sul server web utilizzando un indirizzo IP e non il nome del dominio (ad esempio http://192.168.0.100 anziché http://www.nomedeldominio.com).

La vulnerabilità XSS scaturisce, di per sé, da un’imperfetta elaborazione delle informazioni relative all’indirizzo digitato dall’utente per accedere alle verie pagine di WordPress. Come solitamente accade nel caso delle falle XSS, i dati in ingresso non vengono correttamente epurati delle informazioni potenzialmente pericolose quali i tag HTML aggiunti dall’utente. In quest’articolo abbiamo spiegato, a suo tempo, che cosa sono le vulnerabilità XSS e perché sono così pericolose.

WordPress 3.3.1 è scaricabile gratuitamente facendo riferimento a questa pagina.
L’installazione dell’update è caldamente consigliata perché consente di risolvere ulteriori bug, rilevati nelle precedenti release della piattaforma, e considerati come ad alta priorità.