WordPress ottiene patch per difetti XSS critici

Gli sviluppatori della popolare piattaforma di blog di WordPress hanno rilasciato un aggiornamento di sicurezza fondamentale per correggere una vulnerabilità che può essere sfruttata per rilevare i siti Web.

WordPress 4.2.3, rilasciato giovedì, risolve una vulnerabilità di cross-site scripting (XSS) che potrebbe consentire agli utenti con ruoli di Collaboratore o Autore di compromettere un sito Web, ha affermato Gary Pendergast, un membro del team di WordPress, in un post sul blog.

Anche se questo non è così critico come un difetto che può essere sfruttato senza autenticazione, rappresenta comunque un rischio elevato per molti siti Web poiché il compromesso di un singolo account utente non amministratore può trasformarsi in un'acquisizione completa del sito Web.

Il nuovo aggiornamento risolve anche un difetto a bassa gravità che consente agli utenti con l'autorizzazione del Sottoscrittore di creare bozze postali tramite la funzione Quick Draft, nonché altri 20 bug non relativi alla sicurezza.

Si consiglia agli amministratori di siti Web di installare la nuova versione il più presto possibile dalle loro dashboard di WordPress. I siti Web configurati per gli aggiornamenti automatici in background hanno già iniziato a essere patchati.

I siti Web WordPress sono un obiettivo comune per gli aggressori, anche quelli che non contengono informazioni particolarmente preziose nei loro database. Gli hacker possono utilizzarli per vari scopi nelle loro attività dannose, ad esempio per ospitare malware o per lanciare attacchi DDoS (Distributed Denial of Service).

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.