WordPress 4.8.3 neutralizza una vulnerabilità SLQ Injection

La versione 4.8.3 del CMS neutralizza definitivamente una falla che, attraverso i temi ed i plugin, espone la piattaforma ad SQL Injection.

WordPress logo

WordPress (WP) è uno dei CMS più popolari della rete che, secondo ricerche di mercato citate a più riprese, rappresenta tra il 20% ed il 25% di tutti i portali realizzati con content management system. Lo scorso fine settimana, come avranno notato gli utenti che hanno attivato l’aggiornamento automatico della piattaforma, Automattic ha rilasciato la versione 4.8.3 di WordPress la quale implementa un importante fix di sicurezza.

Il portale The Whir ha ricostruito i passaggi che hanno portato alla pubblicazione dell’importante patch. La falla, individuata dal ricercatore Anthony Ferrara il 20 Settembre 2017, sarebbe stata “introdotta” con la versione 4.8.1 del CMS – rilasciata il 2 Agosto. Ferrara ha scoperto che la funzione $wpdb->prepare(), utilizzata per pianificare l’esecuzione sicura di una query, poteva invece portare al lancio di query non sicure e potenzialmente esposte ad SQL Injection.

Dalla segnalazione alla svolta: breve storia del fix

Con la versione 4.8.2 (19 Settembre) Automattic ha cercato di neutralizzare la falla non riuscendovi però completamente. Per il ricercatore, WP 4.8.2 si è occupato solo di un ristretto numero di potenziali exploit senza risolvere la situazione – rendendo inoltre inefficaci oltre un milione di linee di codice di terze parti. Ferrara ha inviato il suo bug report il 20 Settembre ma senza ottenere la giusta attenzione.

Nelle quattro settimane successive vi è stato uno scambio frequente di messaggi tra il ricercatore ed il team di sicurezza WP caratterizzato da ripetuti “ultimatum” e “rinvii” – Ferrara, intenzionato a rendere pubblica la falla, è stato convinto per due volte di seguito a posticipare il reveal ed attendere il rilascio dell’aggiornamento.

La svolta è arrivata il 27 Ottobre: il coinvolgimento di un altro membro del team WordPress ha accelerato l’iter dell’update che è poi giunto online tra il 2 ed il 3 Novembre. Ferrara ha dichiarato indirettamente sul proprio blog che un maggior numero di personale di sicurezza “a tempo pieno” avrebbe probabilmente velocizzato le procedure – gli organici sottodimensionati sono uno dei grandi problemi delle corporation, osserva:

The miss IMHO isn’t that a team of volunteers isn’t living up to my expectations, but that a platform that powers 25%+ of the Internet (or at least CMS-powered-Internet) isn’t staffed with full time security personnel. Volunteers are amazing and can only do so much. At some point it comes down to the companies making money off of it and not staffing it that are ultimately the biggest problems…

Fonte: 1

 

 

Facci sapere cosa ne pensi!

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *