La pubblicità ossessione

Purtroppo, anche WordPress non si distingue per la “pubblicità invasiva e invadente”. Questo annuncio della stessa piattaforma,lo premette con la liberatoria sopra documentata.Una pur piccola inserzione in una lista pulita,ordinata secondo un proprio gusto e desiderio, guasta il bello del blog – in quanto è un’intrusione, una soluzione di continuità in un filo precisamente disteso, colla imposizione di un annuncio che “si impone senza opzione”; tale cosa, non incontra il parere favorevole di chi sta scrivendo questo articolo. Anche una concessione può connotare chi la concede, secondo le accettazioni che pone come condizione. Gli affari,sono affari ma i più vantaggiosi per un proponente sono quelli che non oltraggiano un rispetto che in ogni luogo e caso,dev’essere dato.

NOTIZIE DI COMUNE UTILITÀ

WordPress: perché aggiornare alla versione 5.1.1

WordPress 5.1 è affetto da una vulnerabilità CSRF, fondamentale aggiornare alla versione 5.1.1.

di Claudio Davide Ferrara

18 marzo 2019

Una nuova vulnerabilità è stata scoperta nel codice di WordPress. Si tratta di un bug che consente ad un attaccante di eseguire del codice da remoto, tale falla è quindi molto seria e i gestori dei siti Web animati da WordPress dovrebbero aggiornare al più presto all’ultima build disponibile.

La vulnerabilità è stata rilevata dai ricercatori di RIPS Technologies, un’azienda tedesca di sicurezza informatica. Si tratta di una forma di cross-site request forgery (CSRF) ovvero un bug a cui sono esposti i siti web dinamici quando sono progettati per ricevere richieste da un client senza meccanismi per controllare se la richiesta sia stata inviata intenzionalmente o no.

In buona sostanza l’attaccante fa in modo che l’utente vittima invii involontariamente una richiesta HTTP dal suo browser, tramite la navigazione su di un sito Web appositamente confezionato, all’installazione di WordPress dove si è precedentemente autenticato.

Il CMS ha quindi la certezza che la richiesta provenga da un utente affidabile e sostanzialmente esegue ogni azione richiesta. Permettendo quindi all’attaccante di accedere a WordPress in modo non autorizzato senza che l’amministratore se ne accorga.

Il bug individuato dal team di RIPS Technologies può essere sfruttato tramite la pubblicazione di link “trappola” nei commenti. WordPress non esegue infatti una validazione con il CSRF quando gli utenti pubblicano dei nuovi commenti, questo perché tali controlli potrebbero andare a disturbare il funzionamento di alcune feature come trackback o pingback.

L’assenza di contromisure potrebbe però creare la situazione ideale per un attacco simile a quello descritto. Fortunatamente tale vulnerabilità sarebbe stata già corretta dal team del CMS.