Archivio Tag: XSS

WooCommerce 2.4.9, bugfix e sicurezza (subito aggiornato a 2.4.10)

Aggiornamento di sicurezza per WooCommerce

Aggiornamento: dopo poche ore è stato rilasciato WooCommerce 2.4.10, con una manciata di bugfix relativi alle funzioni di Geo IP. Evidente il precedente aggiornamento 2.4.9, segnalato ieri, non era del tutto a posto.

È stato appena rilasciato l’aggiornamento a WooCommerce 2.4.9. Si tratta di un aggiornamento con 18 bugfix, i più importanti riguardano il sistema Geo IP, ma risolve anche un problema di sicurezza ti tipo XSS (Cross Site Scripting), che riguarda il file price.php.

Devono fare attenzione, in particolare, gli utilizzatori di temi che sovrascrivono questo file: potrebbero continuare ad usare una versione vulnerabile, nonostante l’aggiornamento di WooCommerce.

Per chi volesse maggiori informazioni sui bug risolti, può sempre consultare il changelog.

Io di solito aspetto qualche ora prima di aggiornare, preferisco attendere i primi commenti in rete, ma come al solito la mamma di tutte le raccomandazioni per l’aggiornamento: un backup completo prima di cominciare, che non si sa mai!

Rilasciato WordPress 4.2.3 (ma vale anche per le versioni precedenti)

È stata rilasciata la nuova versione di mantenimento per WordPress 4.2.3 che corregge tanti bug ma anche una grave vulnerabilità di tipo XSS, definita critica dallo stesso staff di sviluppo.

La vulnerabilità riguarda anche le versioni precedenti di WordPress, per questo motivo sono state rilasciate anche le versioni 4.1.6, 4.0.6, 3.9.7, 3.8.9 e 3.7.9, tutte scaricabili dall’archivio delle versioni di WordPress.

Se hai lasciato attivo l’aggiornamento automatico, almeno per le versioni di mantenimento, dovresti ritrovarti WordPress aggiornato già ora o al massimo entro breve.

Se invece preferisci aggiornare il tuo sistema con maggiore sicurezza, troverai l’aggiornamento alla versione 4.2.3 direttamente segnalato in bacheca, mentre per le precedenti dovrai procedere con un aggiornamento manuale di WordPress.

Come al solito in caso di qualsiasi aggiornamento, procedi con cautela ed effettua sempre un backup completo prima di procedere!

Aggiornamenti di sicurezza per WordPress e Jetpack

Nelle ultime ore sono stati rilasciati due aggiornamenti di sicurezza, WordPress 4.2.2 e Jetpack by WordPress 3.5.3.

Contestualmente è stato aggiornato anche il tema Twenty Fifteen.

I problemi di sicurezza riguardano il file example.html della cartella Genericons, un file che non doveva esserci, una sorta di “dimenticanza” da parte degli sviluppatori, che potrebbe però causare parecchi problemi.

L’aggiornamento effettua una scansione della cartella wp-content, alla ricerca di detto file per cancellarlo.

È stata risolta anche una vulnerabilità di tipo XSS che riguarda le versioni 4.2 e precedenti di WordPress.

È consigliabile effettuare questi aggiornamenti prima possibile, come al solito è raccomandato un bel backup di sicurezza che non si sa mai.

È successo un gran casino…

Numerosi plugin WordPress vulnarebili per XSS (Cross-Site Scripting)

Potrebbe andar peggio, potrebbe piovere!

Nelle ultime ore è nato un caso, che ti riassumo per farla breve: come riportano numerosi siti, a quanto pare un numero imprecisato di plugin per WordPress, ma sarebbero davvero tantissimi, contengono una vulnerabilità di tipo XSS a causa di indicazioni errate nelle pagine del codex di WordPress, che di fatto è la bibbia degli sviluppatori su questa piattaforma.

I plugin coinvolti sono tanti e riguardano pure i più noti e utilizzati, come Jetpack (tutto dire, visto che sviluppato dalla stessa azienda di WordPress), WordPress SEO Google Analytics by Yoast, All in One SEO, Gravity Forms, WPtouch, UpdraftPlus, WP-E-Commerce, P3 Profile, Broken Link Checker e numerosi altri.

Molti sono già corsi al riparo rilasciando tempestivamente un aggiornamento risolutore.

È il caso di Jetpack, WordPress SEO, All in One SEO e diversi altri, ed è prevedibile che nelle prossime ore sarà tutto un rilascio di aggiornamenti anche per gli altri.

E ora, che bisogna fare? Continua a Leggere →

Ciao, come posso aiutarti?
Powered by