Vulnerabilità nel Core WordPress versione 5.2.3

21/11/2019

cve-2019-17671 Vulnerabilità wordpress

Il CERT-PA durante le attività di monitoraggio delle fonti osint, è venuto a conoscenza dell’esistenza di una vulnerabilità, indicata nel CVE-2019-17671 che affligge la versione 5.2.3 del popolare CMS (cfr. news del 05/09/2019), la quale consente, se sfruttata, la visualizzazione non autenticata di determinati contenuti protetti (post privati) poiché la proprietà della query statica non è correttamente gestita.

La vulnerabilità risulta critica anche per la presenza di un exploit pubblico, già implementato in strumenti di analisi vulnerabilità, rappresentato nella figura sottostante:

Conclusioni

Dal monitoraggio emerge anche la disponibilità di un esempio dimostrativo in merito alla vulnerabilità in oggetto che impatta WordPress <=5.2.3, ragion per cui, dal momento che il produttore ha provveduto a rilasciare la versione 5.3 del CMS, si consiglia di provvedere quanto prima possibile all’aggiornamento del software. Il CERT-PA consiglia anche di mantenere sempre aggiornati gli eventuali plugin installati al fine di garantire la sicurezza del CMS.

In questo contesto si fa presente che Jetpack, noto plugin per gestire statistiche, sicurezza e prestazioni del sito che conta più di 5 milioni di installazioni attive, è stato coinvolto in un rilevante problema di sicurezza che espone i relativi siti su piattaforma WordPress a potenziali compromissioni. Il problema è stato risolto tramite il rilascio di un aggiornamento alla versione 7.9.1 che è disponibile attraverso la dashboard del CMS o scaricandolo manualmente dal link ufficiale.