WordPress opravuje aktivně využívanou chybu

Nová verze WordPressu vydaná ve čtvrtek opravuje dvě kritická zranitelnost skriptování mezi servery (XSS), která by mohla útočníkům umožnit kompromitovat webové stránky.

Jeden z nedostatků je umístěn v balíčku ikon písma Genericons, který používá několik oblíbených témat a modulů plug-in, včetně výchozího motivu TwentyFifteen WordPress..

Vědci z firmy Web Security Sucuri ve středu varovali, že již viděli útoky zaměřené na tuto chybu zabezpečení XSS.

Aby ho útočníci mohli využít, musí uživatele přimět k tomu, aby klikali na speciálně vytvořené odkazy, ale jakmile to udělají, mohou využít chybu k odcizení ověřovacích souborů cookie. Pokud je oběť správcem webové stránky, mohla by nad touto webovou stránkou získat plnou kontrolu.

Tuto chybu zabezpečení lze zmírnit odebráním souboru example.html, který je součástí balíčku Genericons, nebo upgradováním na nově vydaný WordPress 4.2.2..

"Všechny ovlivněné motivy a pluginy hostované na WordPress.org (včetně výchozího tématu Dvacet patnáct) byly aktualizovány týmem zabezpečení WordPress, aby tento problém vyřešily odstraněním tohoto nepodstatného souboru," uvedli vývojáři WordPress v oznámení o vydání.

Po instalaci WordPress 4.2.2 prohledá v adresáři webu zranitelný soubor HTML a odebere všechny jeho instance.

Nová verze navíc opravuje druhou kritickou chybu skriptování mezi weby, která by podle vývojářů WordPress mohla umožnit anonymním uživatelům kompromitovat web. Vytvrzuje také obranu v případě možného vydání XSS ve vizuálním editoru.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.