Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Negli ultimi giorni la community WordPress si è trovata davanti a un aggiornamento di sicurezza che non può essere ignorato. Il rilascio dalla versione 6.9.2 ha infatti introdotto una serie di correzioni pensate per chiudere vulnerabilità potenzialmente pericolose presenti nel CMS più utilizzato al mondo.
Il team di sicurezza ha invitato gli amministratori dei siti ad aggiornare immediatamente i propri sistemi. L’aggiornamento è stato progettato proprio per ridurre il rischio di exploit legati a diversi vettori di attacco individuati da ricercatori e membri del team di sicurezza.
L’aggiornamento di sicurezza corregge dieci vulnerabilità differenti che interessano varie componenti del sistema. Le falle spaziano da problemi di path traversal fino a bypass di autorizzazione e vulnerabilità di tipo Cross-Site Scripting.
Tra i problemi risolti compare un’importante vulnerabilità legata alla libreria PclZip che poteva consentire un attacco di path traversal. Nello stesso pacchetto di aggiornamento è stata corretta anche una vulnerabilità XML External Entity presente nella libreria esterna getID3.
Non si tratta di casi isolati. I ricercatori hanno individuato anche due bypass di autorizzazione, uno relativo alla funzionalità AJAX query-attachments e un altro che colpisce la funzione Notes.
Una parte significativa delle vulnerabilità corrette riguarda attacchi XSS. Tra questi è stato identificato un stored XSS nei menu di navigazione e un altro legato alla direttiva data-wp-bind.
È stata inoltre corretta una vulnerabilità che permetteva a un attaccante di sovrascrivere i template lato client nell’area amministrativa. In uno scenario reale, una debolezza simile potrebbe consentire l’iniezione di codice malevolo visibile agli utenti amministratori.
Nel pacchetto di correzioni rientra anche una debolezza Regex DoS legata ai riferimenti numerici dei caratteri, insieme a una vulnerabilità Blind Server-Side Request Forgery.
Sebbene WordPress supporti ufficialmente solo la versione più recente, il team ha deciso di estendere queste correzioni anche a versioni precedenti ancora diffuse. Le patch di sicurezza sono infatti state retroportate ai rami compatibili fino alla versione 4.7. Questo significa che anche siti non ancora migrati alla linea 6.x possono ricevere protezioni contro i nuovi vettori di attacco individuati.
I sistemi WordPress più recenti gestiscono l’aggiornamento automaticamente nella maggior parte dei casi. Gli amministratori di ambienti complessi o molto personalizzati dovrebbero comunque verificare manualmente che il sistema stia eseguendo la versione aggiornata.
Secondo l’analisi pubblicata, l’aggiornamento rappresenta una patch di sicurezza imprescindibile per evitare possibili tentativi di sfruttamento delle vulnerabilità individuate.
Per la community di Red Hot Cyber la lezione è sempre la stessa: quando un CMS diffuso come WordPress rilascia una patch di sicurezza, il tempo diventa un fattore critico e le scansioni partono immediatamente.
Ogni ora di ritardo nell’aggiornamento può trasformarsi in una finestra di opportunità per gli attaccanti.
