Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta vulnerabilità critica in WordPress 5.1.1

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata critica del noto CMS WordPress, presente nelle versioni fino alla 5.1.

In particolare, l’aggiornamento, che porta la versione corrente di WordPress alla 5.1.1, risolve una vulnerabilità di tipo cross-site request forgery (CSRF) che potrebbe consentire ad un attaccante remoto di iniettare in maniera permanente codice HTML e JavaScript arbitrario in un sito WordPress, realizzando quindi attacchi di tipo stored cross-site scripting (XSS).

La vulnerabilità è legata alla modalità con cui WordPress filtra il contenuto dei commenti ai post, che non vengono opportunamente validati prima di essere memorizzati nel database. Un attaccante potrebbe sfruttare questa falla facendo in modo che un utente di un sito WordPress con i commenti abilitati visiti un sito Web malevolo opportunamente predisposto. Se la vittima dispone dei privilegi di amministratore sul sito bersaglio, l’attacco può persino consentire l’iniezione e l’esecuzione di codice PHP arbitrario da remoto, con conseguente compromissione del server.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare il prima possibile la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza e i bug risolti in WordPress 5.1.1 è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità critica in Palo Alto Firewall PAN-OS

22 luglio 2019

È stata scoperta una vulnerabilità critica di tipo esecuzione di codice da remoto nei moduli GlobalProtect del sistema operativo PAN-OS che equipaggia i firewall Palo Alto Networks.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (luglio 2019)

11 luglio 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

2 luglio 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 75 vulnerabilità, di cui 9 critiche e altre 10 di gravità elevata.Leggi tutto