Gli aggiornamenti di WordPress sono sempre molto importanti e in particolare con l’arrivo della versione 6.2.1 sono state risolte diverse falle alla sicurezza.
Ogni stringa di codice che viene scritta è, almeno nel momento in cui viene rilasciata, quasi inespugnabile ma molto spesso non ci vuole troppo tempo per scoprire che esistono, anche tra una stringa di codice e l’altra, delle piccole falle che messe una accanto all’altra possono creare percorsi in cui sviluppatori malintenzionati possono infilarsi per portare scompiglio o, nella peggiore delle ipotesi, creare danni.
È proprio per mantenere al sicuro i siti web che vengono rilasciati aggiornamenti periodici come nel caso dei nuovi aggiornamenti per la sicurezza rilasciati da WordPress. Come si legge anche sul sito ufficiale la versione 6.2.1 è una versione a ciclo breve e destinata proprio alla sicurezza, dato che poi nel mese di agosto arriverà la nuova versione ufficiale denominata 6.3.
Lo scopo principale dell’aggiornamento di WordPress è stato quindi proprio quello di tappare alcuni buchi e rendere i siti più sicuri. In totale sono state individuate e sistemate 5 vulnerabilità e WordPress, nel rilascio del fix, ha anche pubblicamente ringraziato gli esperti esterni che hanno segnalato i problemi.
WordPress rilascia aggiornamento per la sicurezza: tutti i dettagli
Come per i sistemi operativi e in realtà per qualunque pezzo di software, anche per i servizi come WordPress gli aggiornamenti sono fondamentali. In particolare quando vanno a lavorare sugli aspetti della sicurezza. Sul sito web ufficiale di WordPress è stato indicato il rilascio della versione 6.2.1 che contiene un totale di 35 fix tra bug e problemi al block editor.
Tra questi fix ce ne sono però cinque che riguardano la sicurezza e alcune vulnerabilità che sono state rapidamente individuate da esperti esterni e che ora sono state risolte con l’aggiornamento. Nello specifico sono stati rintracciati problemi al CSFR per l’aggiornamento dei thumbnail, una vulnerabilità agli shortcode dei temi a blocchi, una falla che avrebbe permesso lo XSS attraverso il sistema di embedding, un problema con il KSES e una anomalia sfruttabile attraverso i file di traduzione.
Ciascuna di queste vulnerabilità è stata individuata da esperti diversi. In un paio di casi, come per il problema relativo al KSES e ai problemi legati ai file di traduzione, la scoperta risulta avvenuta attraverso una sessione di auditing con società di terze parti anche se proprio il problema relativo ai file di traduzione è stato anche segnalato indipendentemente da Ramuel Gall.
Il problema relativo allo XSS è emerso di nuovo sia attraverso un audit di una società di terze parti sia attraverso il lavoro del team di Securitum. Lo stesso team interno della sicurezza di WordPress ha invece scoperto la falla nella sicurezza relativa al CSFR mentre WP Engine ha permesso di scoprire i problemi negli shortcode dei temi a blocchi nel caso di dati generati dagli utenti.
