Nei giorni scorsi è stata rilasciata una nuova versione di WordPress, giunto alla versione 2.5.1. La release è stata seguita dalla segnalazione di una coppia di vulnerabilità che, col senno del poi, rendono maggiormente urgente un update alla nuova versione da parte dei gestori dei blog sulla piattaforma bacata.
Ufficialmente la nuova release corregge ben 70 bug: errori nell’amministrazione dei widget, problemi di usabilità, miglioramento delle performance in scrittura ed editing dei post, correzione del layout per una miglior interpretazione da parte di Internet Explorer. Due bug, però, rappresentano un problema molto serio che Secunia ha descritto nel bollettino SA29965 giudicando il rischio come «highly critical».
Una prima vulnerabilità consta in un errore nella restrizione degli accessi alla sezione per gli amministratori. Un semplice exploit permette di accedere al pannello di amministrazione tramite apposito cookie. Una seconda vulnerabilità permette l’esecuzione di HTML arbitrario ed altri script. La versione vulnerabile è la 2.5 (lanciata solo un mese prima) e la scoperta dei due problemi indicati è accreditata a Steven J. Murdoch ed Alex Concha. Nel primo caso è possibile anche un temporaneo workaround rappresentato dall’impostazione del blog in modo che non sia possibile per chiunque iscrivere un nuovo account (si blocca così il funzionamento del cookie maligno evitando l’accesso di ignoti al pannello).
La soluzione è disponibile: download immediato ed upgrade della propria piattaforma. La gravità cumulativa dei problemi suggerisce un sollecito intervento correttivo.