Esperti correggono una falla critica in WordPress 5.7.2

WordPress viene aggiornato di continuo con nuove funzioni e correzioni di bug. La versione più recente del sistema, la 5.7.2, è stata rilasciata il 12 maggio. Con questo aggiornamento gli sviluppatori hanno analizzato e corretto una vulnerabilità critica che avrebbe potuto offrire agli attaccanti un vettore efficace contro i siti basati su questo CMS.

La vulnerabilità rientrava nella categoria PHP Object Injection: una falla di questo tipo consente a terzi di inserire oggetti PHP in un’applicazione web o nelle pagine di un sito. Il rischio per la sicurezza è evidente. In scenari simili gli attaccanti possono sfruttare il cross-site scripting per sottrarre dati personali, login e password durante l’accesso al sito. Possono anche eseguire codice arbitrario, fino a installare script di tracciamento sul computer o nel browser dell’utente colpito.

Il CVSS, il sistema standard per valutare la gravità delle vulnerabilità, assegna a questa falla un punteggio quasi massimo: 9,8 su 10. Tutti gli utenti WordPress, insieme ai visitatori dei loro siti, si sono quindi trovati esposti: agli attaccanti sarebbe bastato venire a conoscenza della falla per iniziare a sfruttarla. Per fortuna è stata individuata rapidamente e corretta nella versione 5.7.2, riducendo il margine d’azione dei cybercriminali.

Non è la prima volta che WordPress segnala rischi di questo livello. Gli aggiornamenti regolari servono proprio a correggere possibili vulnerabilità e a migliorare l’esperienza degli utenti, come nel caso del programma Ratemeup craccato.

Si consiglia a tutti gli utenti di verificare la versione del CMS e, se non coincide con quella attuale, di aggiornarla subito. Una vulnerabilità critica di questo tipo mette a rischio sia l’intero sito sia i suoi visitatori: gli attaccanti possono sottrarre dati personali e compromettere il funzionamento del progetto.