Dopo il recente aggiornamento, WordPress ha reso disponibile un importante update di sicurezza che porta la versione attuale del famoso software di blogging alla versione 3.0.4. L’aggiornamento è definito dagli stessi sviluppatori ‘critico’ e quindi è vivamente consigliato a tutti coloro che usano WordPress di aggiornare il più presto possibile.
La versione 3.0.4 di WordPress, disponibile da subito attraverso la pagina di aggiornamento nella vostra bacheca o per il download qui, è un aggiornamento molto importante da applicare ai siti più presto possibile, perché risolve un bug di sicurezza di base nella biblioteca HTML di WordPress, chiamata KSES. KSES è un filtro HTML scritto in PHP che provvede a rimuovere tutti gli elementi HTML indesiderati, ed effettua anche numerosi controlli sui valori degli attributi HTML.
La versione 3.0.4 corregge un grave bug sul file KSES che gestisce l’immissione di codice HTML all’interno dei post e dei commenti del blog. KSES può essere utilizzato per evitare attacchi di tipo Cross-Site Scripting (XSS). Matt Mullenweg, promotore e software blogging della fondazione WordPress, scrive sul suo blog che è consapevole del fatto che un aggiornamento durante le vacanze non è proprio piacevole, ma questo vale la pena di effettuarlo.
Se siete un ricercatore di sicurezza, WordPress sarà grata se deste un'occhiata su questo changeset nonché una visione del loro aggiornamento. Per WordPress è importante l'opininone di ciascuno, perchè desidera sentire i pensieri di più utilizzatori possibili. Un ringraziamento và a Mauro Gentile e Jon Cave (duck_) che hanno scoperto e avvisato la Fondazione di questa vulnerabilità XSS.
Nessun commento:
Posta un commento