Pericoloso BUG di WordPress permetterebbe di prendere possesso del sito

WordPress è la piattaforma CMS più diffusa al mondo e sebbene riceva tanti aggiornamenti alcune volte si scoprono bug madornali. Non ultimo il bug scoperto dalla società di sicurezza finlandese, Klikky Oy, che ha scoperto che tutte le versione 3.x di WordPress avrebbero insito nel codice un bug che permetterebbe ad alcuni malintenzionati di prendere possesso del sito.

La vulnerabilità è stata corretta con il rilascio di WordPress 4.0 ma per oltre 4 anni il bug è stato alla merce di tutti, dal rilascio di WordPress 3 a quello di WordPress 4. Questo bug permette di prendere possesso di un sito web creato con WordPress sfruttato la pubblicazione di un commento contenente codice JavaScript.

Infatti il problema risiederebbe nella funzione wptexturize che si occupa di trasformare virgolette, apostrofi ed altro nelle versioni tipografiche che se eseguito nei commenti permette di prendere possesso dell’account di chi legge il commento e se è l’admin a leggerlo il malintenzionato può prendere possesso dell’intero blog.

Dunque il nostro consiglio è di aggiornare subito a WordPress 4 il più presto possibile in modo da evitare questo genere di problemi oppure potete disattivare la “testurizzazione”, aggiungendo la riga retur $text; alla funzione indicata.