WordPress corregge una vulnerabilità critica in PHPMailer da 9.8.

È stata corretta una ennesima vulnerabilità di WordPress classificata critica.

La patch viene applicata alla versione di WordPress 5.7.2, anche se sono state rilasciate patch per le versioni precedenti.

I siti che hanno attivato il download automatico dovrebbero ricevere questo aggiornamento senza alcuna azione aggiuntiva da parte degli editori.

Gli editori sono incoraggiati a controllare quale versione di WordPress stanno utilizzando per assicurarsi che siano aggiornati alla versione 5.7.2.

Si tratta di una object-injection del conponente PHPMailer, dove troviamo su Owasp.org, la relativa definizione:

“PHP Object Injection è una vulnerabilità a livello di applicazione che potrebbe consentire a un utente malintenzionato di eseguire diversi tipi di attacchi dannosi, come Code Injection, SQL Injection, Path Traversal e Application Denial of Service, a seconda del contesto.La vulnerabilità si verifica quando l’input fornito dall’utente non viene adeguatamente disinfettato prima di essere passato alla funzione PHP unserialize ().Poiché PHP consente la serializzazione degli oggetti, gli aggressori potrebbero passare stringhe serializzate ad hoc a una chiamata vulnerabile unserialize(), creando un’iniezione arbitraria di oggetti PHP nell’ambito dell’applicazione.”

La vulnerabilità è classificata con una severity di 9.8, sulla scala da 1 a 10 utilizzando il Common Vulnerability Scoring System (CVSS).

Il sito Web di sicurezza di Patchstack ha pubblicato la classificazione ufficiale della vulnerabilità del governo degli Stati Uniti.

“DettagliVulnerabilità di iniezione di oggetti in PHPMailer scoperta in WordPress (un problema di sicurezza che interessa le versioni di WordPress tra la 3.7 e la 5.7).

SOLUZIONEAggiorna WordPress all’ultima versione disponibile (almeno la 5.7.2). Tutte le versioni di WordPress dalla 3.7 in poi sono state aggiornate anche per risolvere il seguente problema di sicurezza. “

L’annuncio ufficiale di WordPress per WordPress 5.7.2 affermava:

“Se non hai ancora aggiornato alla 5.7, anche tutte le versioni di WordPress dalla 3.7 in poi sono state aggiornate per risolvere i seguente problema di sicurezza.

Il sito Web ufficiale del National Vulnerability Database (NVD) del governo degli Stati Uniti, che annuncia le vulnerabilità, ha riportato che il bug di sicurezza si è verificata a causa di una correzione precedente che ha introdotto la nuova vulnerabilità.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.