Vulnerabilità di Scripting Cross-Site memorizzato non autenticato in WordPress Core
WordPress 6.5.2 è stato rilasciato il 9 aprile 2024, con un unico aggiornamento di sicurezza e alcuni bug fix. Questo aggiornamento include il fix per una vulnerabilità di Scripting Cross-Site memorizzato non autenticato che può essere sfruttata da utenti non autenticati che hanno accesso a un blocco commenti in una pagina e da utenti autenticati con accesso all’editor di blocchi, come i contributori.
Protezione per gli utenti Wordfence
Tutti gli utenti Wordfence sono protetti contro gli exploit che sfruttano questa vulnerabilità attraverso metodi non autenticati. Gli utenti Wordfence Premium, Wordfence Care e Wordfence Response hanno ricevuto una regola firewall per proteggersi dagli exploit che sfruttano questa vulnerabilità attraverso metodi autenticati il 10 aprile 2024. Gli utenti che utilizzano la versione gratuita di Wordfence riceveranno la stessa protezione 30 giorni dopo, il 10 maggio 2024.
Aggiornamento obbligatorio
Il fix è stato backportato alle versioni 6.1 e successive di WordPress. Si raccomanda vivamente agli utenti di WordPress di verificare che i loro siti siano aggiornati alla versione 6.5.2 o a un’altra versione di sicurezza backportata il prima possibile, poiché questa vulnerabilità potrebbe consentire il takeover completo del sito in determinate condizioni. La maggior parte dei siti dovrebbe aver aggiornato automaticamente, tuttavia, è consigliabile verificare che l’aggiornamento automatico sia riuscito.
Aree interessate
Le versioni interessate sono le seguenti: 6.5 – 6.5.1, 6.4 – 6.4.3, 6.3 – 6.3.3, 6.2 – 6.2.4, 6.1 – 6.1.5, 6.0 – 6.0.7.
Consigli e best practice
- Aggiorna il tuo sito WordPress
Verifica che il tuo sito sia aggiornato alla versione 6.5.2 o a una versione di sicurezza backportata. - Verifica l’aggiornamento automatico
Assicurati che l’aggiornamento automatico sia riuscito. - Consiglio per gli sviluppatori
Verifica che l’ordine delle operazioni di sanitizzazione, escape e formattazione dei dati sia come previsto e desiderato.
Questa vulnerabilità di Scripting Cross-Site memorizzato non autenticato può essere sfruttata da utenti autenticati e non autenticati in determinate circostanze, con conseguenze potenzialmente gravi. Proteggi il tuo sito WordPress seguendo questi suggerimenti e best practice.
