Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte sette vulnerabilità in WordPress 5.0.1

CMS  WordPress   giovedì, 13 dicembre 2018

È stato rilasciato un aggiornamento di sicurezza che risolve sette vulnerabilità del noto CMS WordPress, presenti in tutte le versioni a partire dalla 3.7 fino alla 5.0 rilasciata lo scorso 6 dicembre.

In particolare, l’aggiornamento, che porta la versione corrente di WordPress alla 5.0.1, include i seguenti fix di sicurezza (in Inglese):

  1. Authors could alter meta data to delete files that they weren’t authorized to.
  2. Authors could create posts of unauthorized post types with specially crafted input.
  3. Contributors could craft meta data in a way that resulted in PHP object injection.
  4. Contributors could edit new comments from higher-privileged users, potentially leading to a cross-site scripting vulnerability.
  5. Specially crafted URL inputs could lead to a cross-site scripting vulnerability in some circumstances (WordPress itself was not affected, but plugins could be in some situations).
  6. The user activation screen could be indexed by search engines in some uncommon configurations, leading to exposure of email addresses, and in some rare cases, default generated passwords.
  7. Authors on Apache-hosted sites could upload specifically crafted files that bypass MIME verification, leading to a cross-site scripting vulnerability.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare il prima possibile la propria piattaforma. Sono disponibili versioni aggiornate di WordPress 4.9 e precedenti per gli utenti che non hanno ancora installato la release 5.0.

Per maggiori dettagli sui problemi di sicurezza risolti in WordPress 5.0.1 è possibile consultare la relativa nota di rilascio (in Inglese):

Notizie correlate

Aggiornamento di sicurezza critico per Drupal 7 e 8

13 maggio 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "moderately critical" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Risolta vulnerabilità di tipo XSS in Joomla! 3.9.6

8 maggio 2019

Il Joomla! Project ha rilasciato la versione 3.9.6 del suo CMS che risolve una vulnerabilità di tipo cross-site scripting nel codice "core" dell'applicazione.Leggi tutto

Aggiornamenti di sicurezza critici per Drupal 7 e 8

18 aprile 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità considerate "moderatamente critiche" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto