La società IT finlandese Klikki Oy ha individuato una vulnerabilità critica nel codice WordPress, la nota piattaforma di blogging. Il problema riguarda la versione 3 del sistema di gestione dei blog e dei contenuti. Secondo le statistiche di WordPress a partire dal 20 novembre, circa l'86% di tutti i siti WordPress utilizza una versione vulnerabile. Al momento del rapporto (settembre 2014), la percentuale era di circa il 90%. Per sfruttare la vulnerabilità, l'attaccante ha bisogno di un campo di testo, ad esempio l'inserimento dei commenti, che è attivato per impostazione predefinita.
Il numero totale di siti WordPress su Internet è stato approssimato a decine di milioni. La versione 3.0, che ha introdotto questo bug è stata rilasciata nel 2010. La versione 4.0, che non è vulnerabile a questo difetto, è stata rilasciata nel mese di settembre 2014. Il bug si è protratto almeno per quasi quattro anni. Un utente malintenzionato potrebbe sfruttare la vulnerabilità XSS (Cross Site Scripting) inserendo dei commenti che contengono il codice malevolo del programma, su post WordPress e le pagine del blog.
Con le impostazioni predefinite i commenti possono essere inseriti da chiunque senza autenticazione (login). Il codice javascript iniettato nei commenti sarebbe inavvertitamente eseguito nel browser Web dell'amministratore del blog quando visualizza il commento. Il codice canaglia potrebbe poi eseguire segretamente le operazioni amministrative in modo da prendere in consegna l'account amministratore. Tali operazioni includono la possibilità di creare un nuovo account amministratore (con una password nota).
Inoltre - spiega la società - è possibile la modifica della password dell'amministratore corrente, e nel caso più grave, l'esecuzione del codice PHP fornito dall'attaccante direttamente sul server. In casi estremi potrebbe anche scrivere codice PHP sul server, usando l’editor dei plugin, ed eseguire una richiesta AJAX per accedere direttamente al sistema operativo. Klikki Oy ha sviluppato un proof-of-concept che esegue tutte le operazioni descritte, senza lasciare traccia del codice JavaScript nel database.
Diversamente dalla versione 3.x, WordPress 4.0 non è affetta dal problema. Klikki Oy ha segnalato la vulnerabilità il 26 settembre e ha lavorato con il vendor per risolvere il problema. Le patch ufficiali sono state rilasciate il 20 novembre scorso e distribuiti automaticamente alla maggior parte dei siti di WordPress. Secondo quanto riferito l'Akismet comment plugin adesso filtra anche eventuali commenti maligni contenenti l'exploit. WordPress ha rilasciato un update di sicurezza per la versione 4.0 che corregge 23 vulnerabilità, inclusi problemi di cross-site scripting indipendenti.
Nessun commento:
Posta un commento