I CMS non sono mai esenti da falle e bug, in particolare se si parla di applicazioni abbastanza complesse come è per esempio il caso di WordPress, un blog engine composto da centinaia di migliaia di righe di codice. Se poi parliamo di nuove release il discorso è ancora più serio, infatti per quanto gli sviluppatori si sforzino di tappare tutti i buchi possibili solo i test di migliaia di utenti permettono di riportare a galla le vulnerabilità più insidiose.
Nel caso specifico di WordPress 2.5, nelle ultime ore sono state segnalate tre falle a carico dell'applicazione, due "critiche" ma che per loro natura possono essere difficilmente causa di problemi (una di esse è tra l'altro in odore di bufala), la terza è invece considerata di livello "medio" e in alcuni casi particolari potrebbe creare qualche grattacapo agli utilizzatori di questo blog engine.
Vediamo nello specifico le caratteristiche di queste problematiche:
- la prima vulnerabilità permetterebbe la creazione di utenti a coloro che non hanno i permessi per poterlo fare, per questa falla esiste già una patch ma è da sottolineare il fatto che non si tratta di un pericolo estremamente concreto; infatti perché si corrano dei rischi si dovrebbero assegnare privilegi di alto livello a semplici utenti/lettori come per esempio gli iscritti alle newsletter, ma in questo caso il vero "bug" sarebbe lo stesso amministratore del blog...
- la seconda falla è più che altro un sospetto, infatti alcuni utilizzatori avrebbero segnalato la possibilità di SQL injection a carico di WordPress 2.5 sulla base di una vulnerabilità segnalata su versioni precedenti; una fonte autorevole come WordPress Italy smentisce comunque la veridicità di questa segnalazione.
- l'ultimo bug riguarderebbe un problema a carico del nuovo sistema di codifica delle password introdotto con la versione 2.5; nel file di configurazione di WordPress il valore della costante SECRET_KEY andrebbe sostituito con una frase o una serie di caratteri alfanumerici molto lunga per evitare la possibilità (comunque remota) di un crack dell'applicazione.
Al di là del livello di gravità (e in alcuni casi di veridicità ) delle problematiche elencate, il consiglio è sempre lo stesso: mantenere sempre aggiornato il proprio CMS.
