Stai leggendo
WordPress, nuova vulnerabilità XSS

WordPress, nuova vulnerabilità XSS

di NicoPi24 novembre 2014

Le vulnerabilità XSS sono da sempre lo stigma di WordPress, che nonostante i continui e ripetuti aggiornamenti incappa costantemente in questa tipologia di bug. Ecco come comportarsi a riguardo

wordpress

WordPress e XSS: la strana coppia

Non nuovo a questo genere di impedimenti, WordPress è incappato nuovamente in una delle temibili vulnerabilità XSS (Cross-site scripting), che questa volta -come già avvenuto- è aggirabile installando l’ultima versione disponibile del CMS. Le possibilità offerte dal bug ad eventuali malintenzionati della Rete è la sottrazione di credenziali personali (i classici username e password); questione tuttavia risolvibile aggiornando il sistema alla versione 4.01, che presenta inoltre ulteriori patch per risolvere bug occorsi recentemente.

Per chi non fosse ancora entrato in contatto con il concetto di vulnerabilità XSS, si tratta di falle in grado di mutare il codice HTML della pagina, pur non consentendo l’esecuzione arbitraria di codice, aspetto che da sempre spaventa i possessori di siti web. In questa maniera, ad esempio, possono essere modificati i parametri di invio di informazioni da un form ad un server che accoglierà la richiesta, con la possibilità di deviare il flusso informativo (spesso sfruttando parametri ad hoc, tra cui XMLHttpRequest).

Il bug di cui stiamo parlando trae origine dalla gestione dei commenti, e nei tag HTML da essi derivanti. Le versioni in pericolo sono comprese fino alla 3.9.2, perciò è opportuno, come già detto, transitare tempestivamente alla recente release, che tamponerà completamente questa tipologia di grave bug.

Riguardo al nostro autore
NicoPi
Amministratore e co-fondatore del sito. Tecnico informatico presso una software house e studente di Ingegneria a Padova. Appassionato di grafica, fotografia, Photoshop, AfterEffect, ecc ecc