WordPress corregge una vulnerabilità critica in PHPMailer da 9.8.



È stata corretta una ennesima vulnerabilità di WordPress classificata critica.


La patch viene applicata alla versione di WordPress 5.7.2, anche se sono state rilasciate patch per le versioni precedenti.


I siti che hanno attivato il download automatico dovrebbero ricevere questo aggiornamento senza alcuna azione aggiuntiva da parte degli editori.


Gli editori sono incoraggiati a controllare quale versione di WordPress stanno utilizzando per assicurarsi che siano aggiornati alla versione 5.7.2.



Si tratta di una object-injection del conponente PHPMailer, dove troviamo su Owasp.org, la relativa definizione:

"PHP Object Injection è una vulnerabilità a livello di applicazione che potrebbe consentire a un utente malintenzionato di eseguire diversi tipi di attacchi dannosi, come Code Injection, SQL Injection, Path Traversal e Application Denial of Service, a seconda del contesto. La vulnerabilità si verifica quando l'input fornito dall'utente non viene adeguatamente disinfettato prima di essere passato alla funzione PHP unserialize (). Poiché PHP consente la serializzazione degli oggetti, gli aggressori potrebbero passare stringhe serializzate ad hoc a una chiamata vulnerabile unserialize(), creando un'iniezione arbitraria di oggetti PHP nell'ambito dell'applicazione."

La vulnerabilità è classificata con una severity di 9.8, sulla scala da 1 a 10 utilizzando il Common Vulnerability Scoring System (CVSS).

Il sito Web di sicurezza di Patchstack ha pubblicato la classificazione ufficiale della vulnerabilità del governo degli Stati Uniti.



"Dettagli Vulnerabilità di iniezione di oggetti in PHPMailer scoperta in WordPress (un problema di sicurezza che interessa le versioni di WordPress tra la 3.7 e la 5.7).
SOLUZIONE Aggiorna WordPress all'ultima versione disponibile (almeno la 5.7.2). Tutte le versioni di WordPress dalla 3.7 in poi sono state aggiornate anche per risolvere il seguente problema di sicurezza. "

L'annuncio ufficiale di WordPress per WordPress 5.7.2 affermava:



"Se non hai ancora aggiornato alla 5.7, anche tutte le versioni di WordPress dalla 3.7 in poi sono state aggiornate per risolvere i seguente problema di sicurezza.

Il sito Web ufficiale del National Vulnerability Database (NVD) del governo degli Stati Uniti, che annuncia le vulnerabilità, ha riportato che il bug di sicurezza si è verificata a causa di una correzione precedente che ha introdotto la nuova vulnerabilità.