Il 30 agosto 2022 WordPress ha diffuso un aggiornamento alla versione 6.0.2 del suo CMS da installare con urgenza. Tale update, infatti, va a fixare una serie di pericolosi bug segnalati dagli utenti della piattaforma stessa, i cui sviluppatori hanno dedicato un ringraziamento nella nota ufficiale diramata pochi giorni fa.
Grazie alla nota diramata dal blog di WordFence, sito specializzato in notizie sulla sicurezza di WordPress e dei suoi plugin, siamo in grado di elencare le varie vulnerabilità e le loro caratteristiche. Prima di farlo, specifichiamo anche che le versioni del CMS coinvolte sono quelle che vanno dalla 3.7 in poi e questo è fondamentale per comprendere come l’aggiornamento sia importante, come vedremo. Queste vulnerabilità non hanno ancora ricevuto un numero di serie CVE da parte di Mitre poiché la loro scoperta è ancora troppo recente.
Il primo bug è presente nella funzione Segnalibri, non più presente nelle versioni recentemente installate, e consentirebbe di effettuare attacchi di tipo SQL injection. La valutazione della gravità assegnata a questo bug è di 8 su 10, ciò significa che si tratta di una vulnerabilità molto grave. Anche se, spiega WordFence, il suo sfruttamento è possibile solo a coloro che godono di privilegi da amministratore, non è detto che alcuni plugin consentano ad utenti malintenzionati di approfittarne ed inserire codice SQL malevolo.
Gli altri due principali bug hanno ricevuto un punteggio di gravità pari a 4.9, ovvero una valutazione media, e possono portare, se sfruttate ad attacchi di tipo XSS (Cross-Site Scripting). La prima delle due vulnerabilità ha colpito la funzione chiamata “the_meta ()“, che dà la possibilità ad amministratori, creatori, autori ed editori di vedere una lista dei campi personalizzati creati per i post del sito. Nelle versioni precedenti alla 6.0.2, però, i dati provenienti da questa funzione avevano un problema di escape sull’output dando modo agli editor di iniettare Javascript dannoso che poteva essere eseguito in ogni pagina in cui viene chiamata la funzione “the_meta ()“.
L’ultima importante vulnerabilità invece riguarda la schermata dei plugin e più specificamente nei messaggi d’errore visualizzati quando, a causa di un problema, si disattiva un plugin o non si riesce a disinstallarlo. Tali messaggi contengono Javascript ed un utente che, ad esempio, ha già scaricato uno strumento aggiuntivo compromesso potrebbe dare modo ad un attore malintenzionato di iniettare codice malevolo. C’è da dire però che molto probabilmente i siti che possono essere colpiti da questa vulnerabilità avevano già patito attacchi in precedenza senza risolverli del tutto.
Sebbene, come abbiamo visto, le possibilità di essere colpiti da queste tre vulnerabilità siano basse, data la difficoltà di sfruttamento delle stesse, è importante che tutti gli utilizzatori di WordPress procedano all’installazione dell’aggiornamento alla versione 6.0.2 appena rilasciata. Per saperne di più dal punto di vista tecnico consigliamo di consultare tra le fonti dell’articolo la nota ufficiale degli sviluppatori del CMS.