Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte nove vulnerabilità in WordPress 4.8.2

CMS  cross-site scripting  SQL injection  WordPress   giovedì, 21 settembre 2017

È stato rilasciato un aggiornamento di sicurezza che risolve nove vulnerabilità del noto CMS WordPress, presenti nelle versioni fino alla 4.8.1.

In particolare, l’aggiornamento, che porta la versione corrente di WordPress alla 4.8.2, risolve le seguenti vulnerabilità (in Inglese):

  • $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi).
  • A cross-site scripting (XSS) vulnerability was discovered in the oEmbed discovery.
  • A cross-site scripting (XSS) vulnerability was discovered in the visual editor.
  • A path traversal vulnerability was discovered in the file unzipping code.
  • A cross-site scripting (XSS) vulnerability was discovered in the plugin editor.
  • An open redirect was discovered on the user and term edit screens.
  • A path traversal vulnerability was discovered in the customizer.
  • A cross-site scripting (XSS) vulnerability was discovered in template names.
  • A cross-site scripting (XSS) vulnerability was discovered in the link modal.

Oltre ai problemi di sicurezza elencati, l’aggiornamento risolve anche diversi bug riscontrati nella versione 4.8.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare il prima possibile la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in WordPress 4.8.2 è possibile consultare la relativa nota di rilascio (in Inglese):

Notizie correlate

Risolte due vulnerabilità in Joomla! 3.8.0

21 settembre 2017

Il Joomla! Project ha rilasciato la versione 3.8.0 del suo CMS che risolve due vulnerabilità che possono causare la divulgazione di informazioni sensibili. Leggi tutto

Vulnerabilità multiple in Magento

15 settembre 2017

È stato rilasciato un importante aggiornamento di sicurezza per la piattaforma di e-commerce Magento che risolve diverse vulnerabilità che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario sul server.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 8

22 agosto 2017

È stato rilasciato un aggiornamento di sicurezza che risolve tre vulnerabilità critiche nel codice "core" del noto CMS Drupal versione 8.x.Leggi tutto