Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 14 Maggio 2021 05:20
È stata corretta una ennesima vulnerabilità di WordPress classificata critica.
La patch viene applicata alla versione di WordPress 5.7.2, anche se sono state rilasciate patch per le versioni precedenti.
I siti che hanno attivato il download automatico dovrebbero ricevere questo aggiornamento senza alcuna azione aggiuntiva da parte degli editori.
Gli editori sono incoraggiati a controllare quale versione di WordPress stanno utilizzando per assicurarsi che siano aggiornati alla versione 5.7.2.
Si tratta di una object-injection del conponente PHPMailer, dove troviamo su Owasp.org, la relativa definizione:
“PHP Object Injection è una vulnerabilità a livello di applicazione che potrebbe consentire a un utente malintenzionato di eseguire diversi tipi di attacchi dannosi, come Code Injection, SQL Injection, Path Traversal e Application Denial of Service, a seconda del contesto.La vulnerabilità si verifica quando l’input fornito dall’utente non viene adeguatamente disinfettato prima di essere passato alla funzione PHP unserialize ().Poiché PHP consente la serializzazione degli oggetti, gli aggressori potrebbero passare stringhe serializzate ad hoc a una chiamata vulnerabile unserialize(), creando un’iniezione arbitraria di oggetti PHP nell’ambito dell’applicazione.”
La vulnerabilità è classificata con una severity di 9.8, sulla scala da 1 a 10 utilizzando il Common Vulnerability Scoring System (CVSS).
Il sito Web di sicurezza di Patchstack ha pubblicato la classificazione ufficiale della vulnerabilità del governo degli Stati Uniti.
“DettagliVulnerabilità di iniezione di oggetti in PHPMailer scoperta in WordPress (un problema di sicurezza che interessa le versioni di WordPress tra la 3.7 e la 5.7).
SOLUZIONEAggiorna WordPress all’ultima versione disponibile (almeno la 5.7.2). Tutte le versioni di WordPress dalla 3.7 in poi sono state aggiornate anche per risolvere il seguente problema di sicurezza. “
L’annuncio ufficiale di WordPress per WordPress 5.7.2 affermava:
“Se non hai ancora aggiornato alla 5.7, anche tutte le versioni di WordPress dalla 3.7 in poi sono state aggiornate per risolvere i seguente problema di sicurezza.
Il sito Web ufficiale del National Vulnerability Database (NVD) del governo degli Stati Uniti, che annuncia le vulnerabilità, ha riportato che il bug di sicurezza si è verificata a causa di una correzione precedente che ha introdotto la nuova vulnerabilità.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
