Wordpress ha chiuso in silenzio una privilege escalation. Tutti ad aggiornare

WordPress, il noto CMS utilizzato nella maggioranza dei siti web là fuori, è purtroppo noto per essere un colabrodo. Mentre capiamo tutti insieme, cosa aspetti Automattic ad ingaggiare qualcuno che si occupi della security del loro codice, qualcuno che ne capisca intendo, non possiamo far altor che constatare che una vulnerabilità che permetteva l’iniezione di contenuti arbitrari, permetteva anche di elevare i propri privilegi nel CMS attaccando le proprie REST API.

WordPress, il noto CMS utilizzato nella maggioranza dei siti web là fuori, è purtroppo noto per essere un colabrodo. Mentre capiamo tutti insieme, cosa aspetti Automattic ad ingaggiare qualcuno che si occupi della security del loro codice, qualcuno che ne capisca intendo, non possiamo far altor che constatare che una vulnerabilità che permetteva l’iniezione di contenuti arbitrari, permetteva anche di elevare i propri privilegi nel CMS attaccando le proprie REST API.

Non serve solamente reagire con solerzia quando un ricercatore ti dà l’imbeccata. Serve pensare il proprio codice con la security in testa, soprattutto se fa girare mezzo www.

Aggiornate tutti alla 4.7.2. Se avete toccato il core, è quindi ora aggiornare è un bagno di sangue, bhé non avete fatto i compiti a casa.

comments powered by Disqus