È stata recentemente scoperta una vulnerabilità di tipo Cross-Site Scripting (XSS) che interessa WordPress 4.8.1.
La vulnerabilità richiede la presenza di un account sul sito della vittima con il ruolo di Contributor, oppure qualsiasi account in un’installazione di WordPress con la presenza del plugin bbPress, a condizione che abbia funzionalità di pubblicazione (infatti se l’invio anonimo è consentito, allora non è necessario alcun account).
Tutte le installazioni di WordPress sono a rischio quando una qualsiasi delle condizioni sopra indicate è rispettata.
La vulnerabilità si verifica nell’editor di WordPress, responsabile della creazione e modifica di tutti i post, pagine e topics di WordPress (in bbPress).
I dettagli tecnici di questa vulnerabilità possono essere trovati sul blog di WordPress.
Se stai utilizzando WordPress, aggiorna l’installazione appena possibile.
Se gli aggiornamenti automatici sono abilitati sul tuo sito di WordPress, dovresti già utilizzare la versione più recente, che ora è protetta da questa vulnerabilità.
Nel caso in cui non sia possibile aggiornare, consigliamo vivamente di sfruttare la tecnologia KnoXweb o una tecnologia equivalente per essere protetti da questa e da tutte le vulnerabilità in modo efficace.
Contattaci per avere maggiori informazioni su KnoXweb.