WordPres 4.7.3 è disponibile ora.
Questa è una release “Security & Maintenance” che non introduce nuovi elementi o funzioni ma bensì risolve bug e corregge problemi presenti nelle versioni precedenti. In quanto corregge situazioni relative alla sicurezza, si raccomanda un aggiornamento tempestivo.
Nelle versioni precedenti erano presenti 6 grandi problemi che sono stati completamente risolti:
Cross-site scripting (XSS) via media file metadata. Scoperto da Chris Andrè Dale, Yorick Koster, e Simon P. Briggs.
I caratteri di controllo possono ingannare la validazione su redirect URL. Scoperto da Daniel Chatfield.
Alcuni file vengono cancellati involontariamente dagli admin usando il plugin dedicato. Scoperto da TrigInc e xuliang.
Cross-site scripting (XSS) via video URL nei video YouTube incorporati. Scoperto da Marc Montpas.
Cross-site scripting (XSS) via nomi dei termini della tassonomia. Scoperto da Delta.
Cross-site request forgery (CSRF) in Press This che risulta in un uso eccessivo di risorse lato server. Scoperto da Sipke Mellema.
L’aggiornamento è disponibile direttamente nella dashboard di amministrazione del proprio sito WordPress tramite banner “Upgrade Now”, oppure può essere eseguito manualmente a partire dai file presenti a questo indirizzo.
Chi ha attiva l’opzione di aggiornamento automatico, vedrà il sistema aggiornato a breve.
Identificata vulnerabilità in Magento che permette attacchi CSRF
È stata identificata una vulnerabilità in Magento Community Edition (2.1.6 e più vecchie) che permette l’esecuzione di codice remoto sfruttando anche una tecnica di Cross Site Request Forgery (CSRF). A dare la notizia è DefenseCode in questo documento dopo un’attività di auditing eseguita sulla versione Community Edition; non è stata testata la versione Enterprise, ma dal momento che condividono gran parte del codice è lecito attendersi che anche questa versione si affetta dalla vulnerabilità.
La vulnerabilità si basa sull’opzione che consente agli amministratori di aggiungere dei video Vimeo alla descrizione del prodotto; in questo caso il sistema recupera un’immagine di anteprima tramite richiesta POST che accetta come parametro la URL dell’immagine.
La richiesta può essere cambiata a GET, e se la URL punta a un file immagine non valido, come un file PHP, il sistema ritorna un errore, tuttavia scaricando il file e non cancellandolo se la validazione fallisce.
Le informazioni dell’immagine sono analizzate e salvate in una directory seguendo uno schema ben preciso (il modello è /pub/media/tmp/catalog/product/<X>/<Y>/<original filename>, dove il percorso da creare dipende dal nome dell’immagine. Ad esempio con picture.jpg viene creato il percorso /p/i/picture.jpg).
A questo punto vengono scaricati due file: uno è il file .htaccess che abilita l’esecuzione di codice PHP nella directory, l’altro è lo script PHP da eseguire.
Uno scenario d’attacco tipico vede un hacker avere come obiettivo un’utenza Magento con accesso al pannello amministrativo (può non essere un admin completo) tramite una email che punta ad una URL che inizia l’attacco CSRF.
Viene consigliato di abilitare l’opzione “Add Secret Keys to URLs” per mitigare gli attacchi CSRF, che si abilita in Stores > Configuration > ADVANCED > Admin > Security > Add Secret Key to URLs.
Inoltre nelle subdirectory di /pub/media/tmp/catalog/product/ dovrebbe essere disabilitato l’uso di file .htacces.
Gli sviluppatori Magento assicurano che la vulnerabilità verrà definitivamente riparata con la prossima release del CMS.