Grave bug in WordPress, milioni di siti a rischio

Milioni di siti web basati su WordPress rischiano di subire un attacco hijacking, a causa di una vulnerabilità presente nell’installazione predefinita nel popolare CMS (Content Management System). Il bug di tipo XSS (Cross-Site Scripting) è stato individuato nel pacchetto Genericons usato da diversi temi e plugin, tra cui TwentyFifteen (installato per default) e JetPack (installato oltre un milione di volte). Il problema è stato risolto nella versione 4.2.2, che i webmaster interessati dovrebbero installare al più presto al fine di evitare ogni tipo di problematica.

La vulnerabilità XSS è di DOM-based, quindi risiede nel Document Object Model responsabile della visualizzazione di testo, immagini e link nel browser. Ciò significa che l’attacco viene eseguito sul lato client ed è difficile da bloccare, in quanto la pagina non subisce modifiche, ma il bug permette di eseguire codice JavaScript, se l’utente ha effettuato l’accesso con le credenziali di amministratore. L’exploit richiede semplici tecniche di ingegneria sociale (una email o un messaggio contenente un link), ma fortunatamente è altrettanto semplice risolvere il problema attraverso pochi e rapidi accorgimenti risolutivi.

È sufficiente infatti eliminare i file example.html nel package Genericons, esattamente la soluzione adottata dai responsabili del progetto open source con la versione 4.2.2. Tutti i temi e i plugin presenti sul sito WordPress.org sono stati aggiornati per rimuovere questo file non essenziale. L’aggiornamento risolve altri 13 bug, quindi è consigliabile procedere alla sua installazione.