Gli esperti di sicurezza della società scandinava Klikki avrebbero scoperto una vulnerabilità in WordPress che sarebbe stata presente all’interno dell’applicazione Open Source per ben 4 anni; la sua individuazione risalirebbe invece allo scorso settembre, rimanendo segreta in attesa della produzione di una patch da parte del team del CMS.
Nello specifico si tratterebbe di una falla presente praticamente in tutte le release del noto Blog Engine libero appartenenti alle serie 3; quest’ultima è stata rilasciata nel corso del 2010 mentre, fortunatamente, la versione 4 (e successive), resa disponibile proprio lo scorso settembre, non sarebbe interessata dalla stessa problematica.
Secondo gli analisti di Klikki, tale vulnerabilità dovrebbe essere associata ad un livello di criticità particolarmente elevato; essa riguarderebbe non meno dell’86% dei siti Internet basati su WordPress oggi in fase di produzione, questo per via del fatto che sarebbero attualmente ancora poche le istallazioni migrate verso l’aggiornamento 4.0
Il problema riguarderebbe nello specifico le funzionalità per i commenti, un utente malintenzionato potrebbe sfruttare l’apposito modulo per il loro invio allo scopo di spedire del codice malevolo che, se eseguito, permetterebbe all’attacccante di prendere il controllo di un sito Web creando un nuovo amministratore e modificando la password di quello vero.
Ma non basta, l’ulteriore rischio derivante da questa vulnerabilità sarebbe individuabile nella possibilità di inviare istruzioni basate su PHP per accedere ai privilegi necessari per il controllo del Web server; un’eventuale infezione potrebbe concludersi con successo tramite esecuzione automatica del codice malevolo nel momento in cui un amministratore visualizzasse i commenti ricevuti.