WordPress 5.8.3: bug fixing per varie vulnerabilità

Il 6 gennaio scorso WordPress ha rilasciato la versione 5.8.3 del suo noto CMS che include, tra le altre funzionalità, anche alcuni aggiornamenti di sicurezza molto importanti. Queste operazioni di bug fixing vanno a mettere un argine ad alcune falle che, però, non hanno messo veramente in difficoltà i tantissimi utenti. La buona notizia è che non tutti i siti WordPress sono a rischio per queste vulnerabilità, poiché sin dalla versione 3.7 del CMS, coloro che hanno abilitato gli aggiornamenti automatici risultano coperti.

Vediamo adesso una ad una le vulnerabilità fixate dagli sviluppatori ed il rischio che si corre non aggiornando il sistema.

CVE-2022-21661

Questa falla di sicurezza riguarda WP-Query e non si può sfruttare in modo diretto da WordPress. Tuttavia, alcuni elementi come plugin e temi possono sfruttarla per effettuare attacchi di tipo SQL Injection, andando ad inserire codice malevolo all’interno dei siti. Ne sono interessate tutte le versioni WordPress precedenti alla 5.8.3.

CVE-2022-21662

Questa vulnerabilità, di tipo XSS (Cross-Site Scripting) è molto pericolosa, poiché consente di creare backdoor ed ottenere il controllo del sito. La buona notizia in questo caso è che può essere sfruttata soltanto dagli utenti che possono pubblicare contenuti. Questa falla dà quindi modo solo agli autori ed ai proprietari di siti WooCommerce di effettuare modifiche e solitamente sono ruoli molto più affidabili degli altri. Il discorso cambia ovviamente in caso di furto di credenziali e mancanza di un sistema di autenticazione a due fattori.

CVE-2022-21663

Per sfruttare questa vulnerabilità è necessario autenticarsi come utente root, oltretutto la falla di sicurezza riguarda solo ed esclusivamente le versioni multisito di WordPress. Proprio per questa particolare caratteristica, non è necessario avere troppa preoccupazione, tanto che WordFence giudica la gravità con un tasso di 6.6, ovvero medio. Oltre a tutte queste questioni sugli utenti, la vulnerabilità CVE-2022-21663 ha bisogno di un sito molto bloccato, nel quale neanche i super user possono eseguire codice, altra cosa molto rara. Il pericolo è, sfruttando questa vulnerabilità, di subire un attacco di tipo Object Injection, ma esistono altre peculiarità di configurazione che rendono questo pericolo molto remoto. 

Come detto all’inizio dell’articolo, sebbene queste vulnerabilità non destino particolare preoccupazione, è importante che tutti coloro che non hanno attivato gli aggiornamenti automatici di WordPress provvedano all’upgrade della versione 5.8.3 del CMS. Ricordiamo che, prima di effettuare l’aggiornamento, è sempre consigliato procedere ad un backup dei contenuti del sito in modo da non perdere nulla se qualcosa andasse storto.

 

Fonte: 1