Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Lug 10, 2018 Marco Schiaffino News, RSS, Vulnerabilità 0
Si sono dimostrati molto più “comprensivi” di molti colleghi (per esempio dei rigorosissimi analisti del Project Zero di Google) concedendo agli sviluppatori tutto il tempo che volevano per correggere la falla, ma dopo sette mesi senza una patch che rimediasse alla vulnerabilità, Slavco Mihajloski e Karim El Ouerghemmi hanno deciso che era arrivato il momento di forzare la mano.
Lo scorso 26 giugno hanno quindi pubblicato un report per descrivere i dettagli di un bug in WordPress che metteva a rischio i milioni di siti (secondo le statistiche il Content Management System è usato per gestire il 30% dei siti su Internet) esponendoli al rischio di essere compromessi con estrema facilità.
Il problema, come spiegano i due ricercatori, è legato alla possibilità che un utente autenticato (ma senza privilegi di amministratore, per esempio registrato come autore) possa cancellare qualsiasi file all’interno dell’installazione di WordPress.
Il rischio più evidente è ovviamente quello che chiunque possa cancellare definitivamente il contenuto di un sito, ma non solo. Un attacco mirato consentirebbe, infatti, di prenderne il controllo e acquisire i privilegi di amministratore.
Per farlo è sufficiente cancellare il file wp-config.php, operazione che ha come conseguenza l’avvio della procedura d’installazione alla visita seguente e la possibilità, per chi la gestisce, di inserire nuove credenziali di amministrazione. Insomma: il bug avrebbe aperto la porta a un vero e proprio “furto” del sito Internet.
Con il rilascio della nuova versione 4.9.7 (qui i dettagli della nuova release) il bug è stato corretto. Ora però bisognerà affrontare il classico periodo di “vuoto” in cui i pirati possono approfittare dell’inerzia nell’installazione degli aggiornamenti per sfruttare la vulnerabilità. Il consiglio per tutti gli utenti WordPress è naturalmente quello di procedere quanto prima all’aggiornamento.
Mar 07, 2024 0
Gen 26, 2024 0
Ott 12, 2023 0
Lug 19, 2023 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...