Sono passati pochissimi giorni dal rilascio ufficiale della versione 6.5 del CMS WordPress, evento del quale abbiamo parlato anche in un recente approfondimento su questo blog. Come spesso accade in questi casi, tuttavia, è stato necessario rilasciare in poco tempo due nuove sotto-versioni che andassero a riparare alcuni bug e falle di sicurezza. È così che arriviamo al 10 aprile scorso, quando è uscita la versione 6.5.2 del noto CMS a seguito di varie segnalazioni relative a problematiche piuttosto importanti in materia di cybersecurity. In realtà, come comunicato dagli stessi sviluppatori, il problema era talmente preoccupante che il rilascio della versione 6.5.1, già pronta, è saltato e si è passati direttamente alla successiva.
La problematica in questo caso era abbastanza seria, poiché avrebbe dato la possibilità ad utenti malintenzionati di effettuare Cross Site Scripting, iniettando quindi codice malevolo e facendo perdere il controllo dei portali ai loro proprietari. Il MITRE in questo caso non ha assegnato alcun codice CVE, ma nei vari report è possibile vedere che la falla non interessava soltanto la versione 6.5 di WordPress ma proveniva anche da molte delle precedenti (6.4 – 6.4.3, 6.3 – 6.3.3, 6.2 – 6.2.4, 6.1 – 6.1.5, 6.0 – 6.0.7). Tutto questo è possibile spiegarlo vedendo come a partire dalla versione 6.0, il noto CMS ha introdotto una nuova funzione chiamata Avatar, che consentiva agli utenti di mostrare una piccola immagine sia quando pubblicavano commenti ad un post che quando ne erano gli autori.
Ebbene, in questo blocco per gli avatar era presente una falla di sicurezza che conferiva privilegi da amministratore ai malintenzionati che conoscevano la vulnerabilità, sia passando da non autenticati dalle pagine con blocchi per commenti, sia a coloro che erano già autenticati ma con privilegi molto bassi e che avevano solo accesso come contributori all’editor a blocchi. Questa vulnerabilità, in soldoni, può portare all’iniezione di script malevoli che, tra le loro conseguenze più gravi, hanno la creazione di utenti amministrativi supplementari e la cancellazione di quelli legittimi, le modifiche ai siti web per creare backdoor e molto altro.
L’operazione da effettuare con urgenza, adesso, è quella di aggiornare il proprio WordPress alla versione 6.5.2, visto che questa vulnerabilità, come abbiamo visto, è presente anche nelle versioni più vecchie a partire dalla 6.0. Per questo genere di aggiornamenti è possibile attivare l’update automatico della versione del CMS, un sistema che aiuta in caso di bug fixing ed installazione di patch urgenti.
Fonte: 1