Nuova vulnerabilità di WordPress


E’ stata scoperta una grave vulnerabilità su WordPress, legata all’inserimento di contenuti (Content Injection). Questa vulnerabilità consente a un utente non autenticato di modificare il contenuto di qualsiasi post o una pagina all’interno di un sito WordPress.

Il livello di Security Risk è stato classificato come “Severe” (grave).

In cosa consiste questa Content Injection?

La vulnerabilità dei privilegi colpisce l’API REST di WordPress, che è stato recentemente aggiunto e abilitato come impostazione predefinita, su WordPress 4.7.0.

Uno di questi “endpoint REST” consente l’accesso (tramite API) per visualizzare, modificare, eliminare e creare messaggi. All’interno di questo endpoint, un piccolo bug permette ai visitatori di modificare qualsiasi post sul sito.

L’API REST è abilitato di default su tutti i siti che utilizzano WordPress versioni 4.7.0 o 4.7.1.
Se il vostro sito è su queste versioni, allora è attualmente vulnerabile a questo bug.

La soluzione immediata è provvedere subito all’aggiornamento del vostro applicativo, portandolo alla versione 4.7.2.