Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte sei vulnerabilità in WordPress 4.7.5

CMS  cross-site request forgery  cross-site scripting  WordPress   giovedì, 18 maggio 2017

È stato rilasciato un aggiornamento di sicurezza che risolve sei vulnerabilità del noto CMS WordPress, presenti nelle versioni fino alla 4.7.4.

In particolare, l’aggiornamento, che porta la versione corrente di WordPress alla 4.7.5, risolve le seguenti vulnerabilità (in Inglese):

  • Insufficient redirect validation in the HTTP class.
  • Improper handling of post meta data values in the XML-RPC API.
  • Lack of capability checks for post meta data in the XML-RPC API.
  • A cross-site request forgery (CSRF) vulnerability was discovered in the filesystem credentials dialog.
  • A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files.
  • A cross-site scripting (XSS) vulnerability was discovered related to the Customizer.

Oltre ai problemi di sicurezza elencati, l’aggiornamento risolve anche diversi bug riscontrati nella versione 4.7.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare il prima possibile la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in WordPress 4.7.5 è possibile consultare la relativa nota di rilascio (in Inglese):

Notizie correlate

Vulnerabilità di tipo XSS in Juniper Networks ScreenOS

14 luglio 2017

Juniper Networks ha pubblicato un bollettino di sicurezza relativo a gravi vulnerabilità di tipo XSS in ScreenOS che possono consentire ad un attaccante di elevare i propri privilegi ed eseguire comandi arbitrari.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.7.3

10 luglio 2017

Il Joomla! Project ha rilasciato la versione 3.7.3 del suo CMS che risolve diverse vulnerabilità, di cui due di gravità elevata che possono consentire la divulgazione di informazioni o rendere possibili attacchi XSS.Leggi tutto

Aggiornamenti di sicurezza critici per Drupal 7 e 8

22 giugno 2017

sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità di gravità elevata nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto