Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta vulnerabilità critica in WordPress 5.1.1

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata critica del noto CMS WordPress, presente nelle versioni fino alla 5.1.

In particolare, l’aggiornamento, che porta la versione corrente di WordPress alla 5.1.1, risolve una vulnerabilità di tipo cross-site request forgery (CSRF) che potrebbe consentire ad un attaccante remoto di iniettare in maniera permanente codice HTML e JavaScript arbitrario in un sito WordPress, realizzando quindi attacchi di tipo stored cross-site scripting (XSS).

La vulnerabilità è legata alla modalità con cui WordPress filtra il contenuto dei commenti ai post, che non vengono opportunamente validati prima di essere memorizzati nel database. Un attaccante potrebbe sfruttare questa falla facendo in modo che un utente di un sito WordPress con i commenti abilitati visiti un sito Web malevolo opportunamente predisposto. Se la vittima dispone dei privilegi di amministratore sul sito bersaglio, l’attacco può persino consentire l’iniezione e l’esecuzione di codice PHP arbitrario da remoto, con conseguente compromissione del server.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare il prima possibile la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza e i bug risolti in WordPress 5.1.1 è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità in prodotti Cisco (15 maggio 2019)

20 maggio 2019

Cisco ha rilasciato il 15 maggio 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto

Risolta vulnerabilità di tipo XSS in Joomla! 3.9.6

8 maggio 2019

Il Joomla! Project ha rilasciato la versione 3.9.6 del suo CMS che risolve una vulnerabilità di tipo cross-site scripting nel codice "core" dell'applicazione.Leggi tutto

Aggiornamento di sicurezza Android (maggio 2019)

7 maggio 2019

Google ha rilasciato l'aggiornamento di sicurezza di maggio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto