3951 Letture

Corretta una vulnerabilità XSS in WordPress

Il team di sviluppo di WordPress, il CMS (content management system) più utilizzato al mondo (prima di Joomla e di Drupal; ved. questo nostro articolo) è stato costretto ad un repentino rilascio della versione 3.3.1 della piattaforma per la gestione di blog. Motivo? La risoluzione di un pericoloso bug di sicurezza che può esporre ad attacchi di tipo cross-site scripting (XSS).

Stando a quanto riferito da Aditya Modha e Samir Shah, autori della scoperta, la vulnerabilità affliggerebbe tutte le istanze di WordPress installate sul server web utilizzando un indirizzo IP e non il nome del dominio (ad esempio http://192.168.0.100 anziché http://www.nomedeldominio.com).

La vulnerabilità XSS scaturisce, di per sé, da un'imperfetta elaborazione delle informazioni relative all'indirizzo digitato dall'utente per accedere alle verie pagine di WordPress. Come solitamente accade nel caso delle falle XSS, i dati in ingresso non vengono correttamente epurati delle informazioni potenzialmente pericolose quali i tag HTML aggiunti dall'utente. In quest'articolo abbiamo spiegato, a suo tempo, che cosa sono le vulnerabilità XSS e perché sono così pericolose.

WordPress 3.3.1 è scaricabile gratuitamente facendo riferimento a questa pagina.
L'installazione dell'update è caldamente consigliata perché consente di risolvere ulteriori bug, rilevati nelle precedenti release della piattaforma, e considerati come ad alta priorità.

  1. Avatar
    Niccolò Tapparo
    05/01/2012 15:32:32
    Apprezzo il lavoro che fate (altrimenti non leggerei e non commenterei nemmeno) e vi si deve dare atto che la maggior parte dei siti non riporta i dettagli della vulnerabilità XSS, io stesso non avendo tempo di andarmi a documentare l'ho appreso da voi. Ciò non toglie che l'aggiornamento interessa tutti, ma il pericolo è ristretto a pochi. Ho visto che avete leggermente modificato l'articolo ed ora è ottimo. Forse ho esagerato con il tono, ma occupandomi degli aggiornamenti di WordPress di una community enorme, so bene che una frase come "il bug mette in pericolo milioni di siti web" terrorizza davvero gli utenti meno esperti che temono di veder sparire da un momento all'altro il proprio blog e si riversano sull'assistenza.
  2. Avatar
    Michele Nasi
    05/01/2012 11:36:37
    Gentilissimo, non mi pare che su IlSoftware.it siano mai stati usati "toni tragici" addirittura "per terrorizzare gli utenti". Da parte nostra ci sforziamo di offrire sempre il maggior numero di dettagli analizzando con attenzione le problematiche che via a via si evidenziano in modo da offrire ai lettori gli strumenti per affrontarle e superarle. L'aggiornamento interessa milioni di utenti perché deve essere installato da tutti coloro che amministrano siti Wordpress e non risolve solo la vulnerabilità citata ma anche altri bug indicati come ad alta priorità.
  3. Avatar
    Niccolò Tapparo
    05/01/2012 11:19:00
    Prima si dice che il bug mette in pericolo milioni di siti web, poi si dice che riguarda solo quelli installati specificando un indirizzo IP che sono una netta minoranza. Per favore, evitiamo i soliti toni tragici per terrorizzare gli utenti.
Corretta una vulnerabilità XSS in WordPress - IlSoftware.it