WordPress tiše opravuje zranitelnost při vkládání nebezpečného kódu

Vývojáři široce používaného systému pro správu obsahu WordPress vydali aktualizaci minulý týden, ale záměrně se zpožděním oznámili, že oprava se týkala závažné zranitelnosti.

Verze WordPress 4.7.2 byla vydána 26. ledna jako aktualizace zabezpečení, ale doprovodné poznámky k vydání uváděly pouze opravy tří středně rizikových zranitelných míst, z nichž jedna neovlivnila ani základní kód platformy..

Ve středu o týden později bezpečnostní tým WordPress odhalil, že ve verzi 4.7.2 byla také opravena čtvrtá zranitelnost, mnohem závažnější než ostatní, oprava.

Tuto chybu zabezpečení objevili vědci z webové bezpečnostní firmy Sucuri a byla ohlášena soukromě týmu WordPress 20. ledna. Je umístěna v rozhraní REST API této platformy (rozhraní pro programování aplikací) a umožňuje neověřeným útočníkům upravovat obsah libovolného příspěvku nebo stránky v rámci Web WordPress.

„Věříme, že transparentnost je v nejlepším zájmu veřejnosti,“ řekl Aaron Campbell v jádře blogového příspěvku hlavní vývojář WordPress. „Je naším názorem, že problémy s bezpečností by měly být vždy zveřejněny. V tomto případě jsme záměrně odložili zveřejnění tohoto problému o jeden týden, abychom zajistili bezpečnost milionů dalších webů WordPress.“

Podle Campbell se vývojáři WordPress po seznámení s touto chybou obrátili na bezpečnostní společnosti, které udržují populární brány firewall webových aplikací (WAF), aby mohly nasadit pravidla ochrany před možným zneužitím. Poté se obrátili na velké hostingové společnosti WordPress a poradili jim, jak implementovat ochranu svých zákazníků před vydáním oficiální opravy.

Tato chyba zabezpečení ovlivňuje pouze WordPress 4.7 a 4.7.1, kde je ve výchozím nastavení povoleno rozhraní REST API. Starší verze nejsou ovlivněny, i když mají plug-in REST API.

"Rádi bychom také poděkovali WAF a hostitelům, kteří s námi úzce spolupracovali, aby přidali další ochranu a monitorovali své systémy, aby se pokusili tuto exploitovat ve volné přírodě," řekl Campbell. "Od dnešního dne se podle našich znalostí nepodařilo zneužít tuto zranitelnost ve volné přírodě."

I když je to dobrá zpráva, neznamená to, že útočníci nezačnou tuto chybu zabezpečení zneužívat, jakmile jsou informace k dispozici. WordPress je nejoblíbenější platformou pro vytváření webových stránek, což z ní dělá velmi atraktivní cíl pro hackery.

Webmasteři by měli zajistit, aby své weby WordPress aktualizovali na verzi 4.7.2 co nejdříve, pokud tak ještě neučinili..

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.