Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta vulnerabilità critica in WordPress 5.1.1

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata critica del noto CMS WordPress, presente nelle versioni fino alla 5.1.

In particolare, l’aggiornamento, che porta la versione corrente di WordPress alla 5.1.1, risolve una vulnerabilità di tipo cross-site request forgery (CSRF) che potrebbe consentire ad un attaccante remoto di iniettare in maniera permanente codice HTML e JavaScript arbitrario in un sito WordPress, realizzando quindi attacchi di tipo stored cross-site scripting (XSS).

La vulnerabilità è legata alla modalità con cui WordPress filtra il contenuto dei commenti ai post, che non vengono opportunamente validati prima di essere memorizzati nel database. Un attaccante potrebbe sfruttare questa falla facendo in modo che un utente di un sito WordPress con i commenti abilitati visiti un sito Web malevolo opportunamente predisposto. Se la vittima dispone dei privilegi di amministratore sul sito bersaglio, l’attacco può persino consentire l’iniezione e l’esecuzione di codice PHP arbitrario da remoto, con conseguente compromissione del server.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare il prima possibile la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza e i bug risolti in WordPress 5.1.1 è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Aggiornamento di sicurezza Android (novembre 2019)

6 novembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità in Microsoft Office per Mac consente esecuzione di codice da remoto

5 novembre 2019

È stata scoperta una vulnerabilità in Microsoft Office per Mac 2011 che potrebbe consentire l'esecuzione di codice arbitrario da remoto mediante file SYLK.Leggi tutto

Vulnerabilità multiple in PHP 7

28 ottobre 2019

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto