di Alfonso Maruccia
Il team “core” di WordPress e gli esperti di Sucuri sono in questi giorni impegnati a fronteggiare una nuova minaccia alla sicurezza della popolare piattaforma CMS, una minaccia che in questo caso coinvolge alcuni dei plug-in più utilizzati dagli utenti ed è riconducibile a una documentazione ufficiale incorretta.
La nuova vulnerabilità è di tipo cross-site-scripting (XSS) è deriva dall’uso improprio delle funzioniadd_query_arg()
e remove_query_arg()
, un cattiva pratica adottata da centinaia o forse migliaia di sviluppatori che hanno consultato la documentazione del “Codex” di WordPress dal 2009 fino all’inizio di quest’anno.
Le pagine riguardanti le succitate funzioni descrivono ora l’utilizzo di
using esc_url()
, meccanismo necessario a proteggere il codice dai tentativi di esecuzione di una URL contenente codice malevolo. Nel frattempo, però, il danno è fatto e ora è in corso il tentativo di “rappezzare” tutti i plug-in che nel frattempo hanno implementato il codice nella maniera incorretta.
Analizzando i primi 400 plug-in della directory di WordPress, gli esperti hanno identificato almeno 15 componenti aggiuntivi vulnerabili comprendenti “brand” del calibro di Jetpack, All in One SEO, Google Analytics e molti altri.
L’analisi di Sucuri serve solo a grattare la superficie di un problema di portata molto più ampia, visto che 400 plug-in sono ben poca cosa rispetto agli oltre 37.000 componenti aggiuntivi disponibili sul repository di WordPress. Nella stragrande maggioranza dei casi spetterà ai singoli sviluppatori correggere il bug.
Commenta per primo