WordPress risolve silenziosamente la vulnerabilità legata all'iniezione di codice pericoloso

Gli sviluppatori del sistema di gestione dei contenuti WordPress ampiamente utilizzato hanno rilasciato un aggiornamento la scorsa settimana, ma hanno intenzionalmente ritardato annunciando che la patch risolveva una grave vulnerabilità.

WordPress versione 4.7.2 è stata rilasciata il 26 gennaio come aggiornamento per la sicurezza, ma le note di rilascio allegate menzionavano solo correzioni per tre vulnerabilità a rischio moderato, una delle quali non influiva nemmeno sul codice principale della piattaforma.

Mercoledì, una settimana dopo, il team di sicurezza di WordPress ha rivelato che una quarta vulnerabilità, molto più grave delle altre, è stata corretta anche nella versione 4.7.2.

La vulnerabilità è stata scoperta dai ricercatori della società di sicurezza Web Sucuri ed è stata segnalata privatamente al team di WordPress il 20 gennaio. Si trova nell'API REST della piattaforma (interfaccia di programmazione dell'applicazione) e consente agli aggressori non autenticati di modificare il contenuto di qualsiasi post o pagina all'interno di un Sito WordPress.

"Riteniamo che la trasparenza sia nel migliore interesse del pubblico", ha detto lo sviluppatore principale di WordPress Aaron Campbell in un post sul blog mercoledì. "È nostra opinione che i problemi di sicurezza debbano sempre essere divulgati. In questo caso, abbiamo intenzionalmente ritardato la divulgazione di questo problema di una settimana per garantire la sicurezza di milioni di siti WordPress aggiuntivi".

Secondo Campbell, dopo aver appreso del difetto, gli sviluppatori di WordPress hanno contattato le società di sicurezza che mantengono noti firewall per applicazioni Web (WAF) in modo che possano implementare regole di protezione contro possibili exploit. Hanno quindi contattato le grandi società di hosting WordPress e li hanno informati su come implementare le protezioni per i loro clienti prima che fosse rilasciata una patch ufficiale.

La vulnerabilità riguarda solo WordPress 4.7 e 4.7.1, dove l'API REST è abilitata per impostazione predefinita. Le versioni precedenti non sono interessate, anche se hanno il plug-in API REST.

"Vorremmo anche ringraziare i WAF e gli host che hanno lavorato a stretto contatto con noi per aggiungere ulteriori protezioni e monitorato i loro sistemi per i tentativi di utilizzare questo exploit in natura", ha detto Campbell. "Ad oggi, per quanto ne sappiamo, non ci sono stati tentativi di sfruttare questa vulnerabilità in natura."

Anche se questa è una buona notizia, non significa che gli aggressori non inizieranno a sfruttare questa vulnerabilità ora che le informazioni sono disponibili. WordPress è la piattaforma di costruzione di siti Web più popolare, che lo rende un obiettivo molto interessante per gli hacker.

I webmaster dovrebbero assicurarsi di aggiornare i loro siti WordPress alla versione 4.7.2 il prima possibile se non l'hanno ancora fatto.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.