Su questa pagina: [nascondere]
Hai aggiornato WordPress alla versione 5.4.2? Se non lo hai fatto, considera di farlo il prima possibile, come contiene l'aggiornamento 23 correzioni e miglioramenti, e in particolare 6 correzioni di sicurezza, 3 di cui indirizzo XXS, o vulnerabilità di scripting tra siti.
Correzioni di sicurezza nella versione di WordPress 5.4.2
La prima vulnerabilità XSS risolta nell'ultima versione di WordPress avrebbe potuto consentire agli utenti autenticati con privilegi bassi di aggiungere JavaScript ai post nell'editor blocchi.
La vulnerabilità potrebbe consentire a un utente malintenzionato di inserire JavaScript in un post manipolando gli attributi di iFrame incorporati. Utenti con la capacità di edit_posts, o utenti con il ruolo Collaboratore o superiore nella maggior parte delle configurazioni, potrebbe essere in grado di sfruttare il problema, I ricercatori di Wordfence dicono.
Il secondo difetto XSS potrebbe consentire agli utenti autenticati con autorizzazioni di caricamento (capacità upload_files) per aggiungere JavaScript ai file multimediali. In altre parole, gli aggressori potrebbero essere in grado di inserire il codice JavaScript nel campo "Descrizione" di un file multimediale caricato. Ciò include gli utenti con il ruolo di autore o superiore.
Anche, Leggere 130M Attacchi Prova a rubare le credenziali del database da 1.3M siti WordPress
Il terzo bug XSS autenticato potrebbe consentire agli aggressori di iniettare JavaScript nel foglio di stile di un tema WordPress danneggiato. Il codice verrebbe quindi eseguito se un altro utente apre la pagina Aspetto -> Temi. Questa vulnerabilità può essere sfruttata dagli utenti con le funzionalità install_themes o edit_themes, disponibile per gli amministratori nella maggior parte delle configurazioni, Wordfence avverte.
Quali altri bug di sicurezza sono stati corretti nella versione di WordPress 5.4.2?
– Un problema di reindirizzamento aperto in wp_validate_redirect();
– Un problema in cui set-screen-option può essere utilizzato in modo improprio dai plug-in che portano all'escalation dei privilegi;
– Un problema in cui i commenti di post e pagine protetti da password potevano essere visualizzati in determinate condizioni.
La buona notizia è che la maggior parte di questi problemi può essere sfruttata solo in modo specifico, condizioni limitate o da utenti fidati. ciò nonostante, si consiglia di aggiornare all'ultima versione. Si noti che poiché si tratta di una versione minore di WordPress, la maggior parte dei siti Web si aggiorna automaticamente alla versione 5.4.2.