WordPress corregge il difetto sfruttato attivamente

Una nuova versione di WordPress rilasciata giovedì risolve due vulnerabilità critiche di cross-site scripting (XSS) che potrebbero consentire agli aggressori di compromettere i siti Web.

Uno dei difetti si trova nel pacchetto di caratteri dell'icona Genericons che viene utilizzato da numerosi temi e plug-in popolari, incluso il tema WordPress predefinito TwentyFifteen.

I ricercatori della società di sicurezza Web Sucuri hanno avvertito mercoledì di aver già visto attacchi contro questa vulnerabilità XSS.

Per sfruttarlo, gli aggressori devono indurre gli utenti a fare clic su collegamenti appositamente predisposti, ma una volta che lo fanno, possono sfruttare il difetto per rubare i cookie di autenticazione. Se la vittima è l'amministratore di un sito Web, potrebbe ottenere il pieno controllo su quel sito Web.

La vulnerabilità può essere mitigata rimuovendo il file example.html che fa parte del pacchetto Genericons o aggiornando il nuovo WordPress 4.2.2.

"Tutti i temi e plugin interessati ospitati su WordPress.org (incluso il tema predefinito Twenty Fifteen) sono stati aggiornati oggi dal team di sicurezza di WordPress per risolvere questo problema rimuovendo questo file non essenziale", hanno detto gli sviluppatori di WordPress nell'annuncio di rilascio.

Una volta installato, WordPress 4.2.2 analizza la directory del sito alla ricerca del file HTML vulnerabile e ne rimuove tutte le istanze.

Inoltre, la nuova versione corregge un secondo difetto critico nello script tra siti che, secondo gli sviluppatori di WordPress, potrebbe consentire agli utenti anonimi di compromettere un sito. Rafforza anche le difese per un potenziale problema XSS nell'editor visivo.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.