Patch di aggiornamento per la sicurezza di WordPress Librerie esterne, diverse vulnerabilità

Il team di sviluppo di WordPress ha rilasciato WordPress 3.3.2 venerdì per affrontare diverse vulnerabilità nella popolare piattaforma di blogging e in tre librerie esterne che sono in dotazione con esso per impostazione predefinita.

La nuova versione di WordPress aggiorna la libreria di Plupload in bundle alla versione 1.5.4 dopo che i suoi sviluppatori hanno applicato una vulnerabilità di cross-site request forgery (CSRF) la scorsa settimana.

Plupload è una libreria di gestione del caricamento flessibile con supporto per una varietà di runtime HTML5, Flash, Silverlight, Gears e BrowserPlus. Viene utilizzato di default in WordPress per caricare file multimediali.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Diversi errori di sicurezza sono stati risolti anche in altre due librerie chiamate SWFUpload e SWFObject, che WordPress utilizzava in il passato per il caricamento di file multimediali e l'incorporamento di Flash, rispettivamente.

Anche se WordPress non utilizza più queste librerie, vengono comunque fornite con la piattaforma di default per mantenere la retrocompatibilità con temi e plug-in meno recenti che si basano su di essi.

Due vulnerabilità cross-site scripting (XSS) che possono essere sfruttate quando si rendono cliccabili gli URL, quando si filtrano gli URL o quando si reindirizza gli utenti dopo aver postato commenti nei browser più vecchi sono stati affrontati nella nuova versione di WordPress, gli sviluppatori di WordPress hanno detto nella versione note.

Una vulnerabilità di escalation dei privilegi con un impatto limitato che potrebbe essere sfruttata da un amministratore del sito per disattivare i plugin di rete quando si esegue una rete WordPress in particolare Anche le circostanze sono state corrette.

WordPress è un obiettivo comune per gli hacker, che sfruttano le vulnerabilità di installazioni obsolete per iniettare codice dannoso in siti web alimentati dalla piattaforma. Il malware Flashback che ha recentemente infettato oltre 600.000 computer Mac è stato distribuito tramite attacchi basati su Web lanciati da siti Web WordPress compromessi.

I ricercatori di sicurezza consigliano ai proprietari di siti Web di mantenere aggiornate le proprie installazioni WordPress e tutti i plug-in e temi associati. sempre. L'aggiornamento di WordPress 3.3.2 dovrebbe apparire automaticamente sotto il menu Aggiornamenti sulla Dashboard amministrativa, ma gli utenti possono anche eseguire un aggiornamento manuale.