Falla informatica XSS nel theme Twenty Fifteen di WordPress Ad essere a rischio sono le versioni di WP fino alla 4.2.1

<span class="entry-title-primary">Falla informatica XSS nel theme Twenty Fifteen di WordPress</span> <span class="entry-subtitle">Ad essere a rischio sono le versioni di WP fino alla 4.2.1</span>

Il theme di default Twenty Fifteen, installato di default da WordPress nella quasi totalità dei casi, porta ad un pesante rischio di sicurezza informatica che pero’, per una volta, dovrebbe essere relativamente agevole da eliminare. Basta infatti rimuovere il theme suddetto, se presente, dal backend amministrativo (Aspetto-> Temi, e poi cliccare su Twenty Fifteen e selezionare “Cancella” in basso): il rischio non sembra legato all’uso o meno del theme in questione, perchè si tratta di un attacco che si può effettuare anche per tentativi, in quanto basato su un path noto:

http://example.com/wordpress/wp-content/themes/twentyfifteen/genericons/example.html#&lt;img/src/onerror=alert(123)&gt;

Quindi qualsiasi sito che lasci installato il tema in questa potrebbe essere potenzialmente a rischio, anche se ci sono diversi fattori da valutare nella pratica e , l’ultima versione disponibile.

L’annuncio viene fuori da un post a firma Netsparker, azienda di sicurezza informatica online che si attribuisce la scoperta della falla che, secondo i ricercatori, consentirebbe ad un estraneo di aggirare il meccanismo di autenticazione username/password e prendere, di fatto, il pieno controllo amministrativo del blog in WordPress. Ad essere interessate al rischio sono le versioni di WP precedenti, e inclusa, la 4.2.1, che già risolveva un altro caso clamoroso di XSS. La falla è stata classificata come CVE-ID: CVE-2015-3429 (fonte: seclists).

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.