Gli esperti del Digital marketing

Potenzia il tuo business online con Monkey Digital SEO: sfrutta al massimo il potenziale del marketing strategico digitale.

La versione di sicurezza di WordPress 6.4.3 risolve due vulnerabilità

La versione di sicurezza di WordPress 6.4.3 risolve due vulnerabilità

WordPress ha annunciato una versione di sicurezza 6.4.3 come risposta a due vulnerabilità scoperte in WordPress oltre a 21 correzioni di bug.

Bypass caricamento file PHP

La prima patch riguarda una vulnerabilità di bypass del caricamento di file PHP tramite il programma di installazione del plug-in. È un difetto di WordPress che consente a un utente malintenzionato di caricare file PHP tramite il plugin e l'uploader del tema. PHP è un linguaggio di scripting utilizzato per generare HTML. I file PHP possono anche essere utilizzati per iniettare malware in un sito Web.

Tuttavia, questa vulnerabilità non è così grave come sembra perché l’aggressore necessita di autorizzazioni a livello di amministratore per eseguire questo attacco.

Vulnerabilità dell'iniezione di oggetti PHP

Secondo WordPress la seconda patch riguarda una vulnerabilità delle catene POP di esecuzione di codice in modalità remota che potrebbe consentire a un utente malintenzionato di eseguire codice in remoto.

Una vulnerabilità RCE POP Chains in genere significa che esiste un difetto che consente a un utente malintenzionato, in genere attraverso la manipolazione dell'input che il sito WordPress deserializza, di eseguire codice arbitrario sul server.

La deserializzazione è il processo in cui i dati vengono convertiti in un formato serializzato (come una stringa di testo). La deserializzazione è la parte in cui vengono riconvertiti nella loro forma originale.

Wordfence descrive questa vulnerabilità come una vulnerabilità PHP Object Injection e non menziona la parte RCE POP Chains.

Ecco come Wordfence descrive la seconda vulnerabilità di WordPress:

“La seconda patch affronta il modo in cui le opzioni vengono archiviate – le disinfetta prima di controllare il tipo di dati dell’opzione – gli array e gli oggetti vengono serializzati, così come i dati già serializzati, che vengono serializzati nuovamente. Sebbene ciò accada già quando le opzioni vengono aggiornate, non è stato eseguito durante l'installazione, l'inizializzazione o l'aggiornamento del sito.

Si tratta anche di una vulnerabilità a bassa minaccia in quanto un utente malintenzionato avrebbe bisogno di autorizzazioni a livello di amministratore per lanciare un attacco riuscito.

Tuttavia, l'annuncio ufficiale di WordPress del rilascio di sicurezza e manutenzione consiglia di aggiornare l'installazione di WordPress:

“Poiché si tratta di una versione di sicurezza, si consiglia di aggiornare immediatamente i propri siti. I backport sono disponibili anche per altre importanti versioni di WordPress, 4.1 e successive."

Correzioni di bug nel core di WordPress

Questa versione risolve anche cinque bug nel core di WordPress:

  • Il testo non viene evidenziato quando si modifica una pagina negli ultimi Chrome Dev e Canary
  • Aggiorna la versione PHP predefinita utilizzata nell'ambiente Docker locale per i rami più vecchi
  • wp-login.php: messaggi/errori di accesso
  • print_emoji_styles deprecato prodotto durante l'incorporamento
  • Le pagine degli allegati sono disabilitate solo per gli utenti che hanno effettuato l'accesso

Oltre alle cinque correzioni del Core di cui sopra, sono presenti ulteriori 16 correzioni di bug nell'editor dei blocchi.

Le Critiche Crescenti Contro Google
Scoprire lo Sviluppo Web: La Programmazione come Arte
Scopri i Top Podcast SEO del 2024 e Mantieniti Aggiornato
Il ruolo delle finestre di dialogo nella progettazione di un'interfaccia utente web
Guida all'Integrazione di ChatGPT sul Tuo Sito Web
Utilizzo efficace di ChatGPT per la ricerca di parole chiave
Automatizzare le Campagne PPC con l'Intelligenza Artificiale Generativa
Aggiungere Coinvolgimento al tuo Sito con uno Sfondo Video CSS
Importanza delle Pagine di Destinazione per la Generazione di Lead e Incremento delle Vendite
Link Building

Link Building come parte della tua strategia di marketing può portare a risultati rivoluzionari. Seowebsite è specializzato nel Link Building e aiuta gli imprenditori a realizzare un forte profilo di link che contribuisce alla crescita online. Possiamo supportarvi anche in questo?