WordPress 4.2.1 - Eliberarea de securitate fixează Vulnerabilitatea Zero Zi Zi - Actualizați acum

Doar la 3 zile de la lansarea WordPress 4.2, un cercetător de securitate a găsit o vulnerabilitate XSS Zero Day care afectează WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 și 3.9.3. Acest lucru permite unui atacator să injecteze JavaScript în comentarii și să hackeze site-ul dvs. Echipa WordPress a răspuns rapid și a rezolvat problema de securitate în WordPress 4.2.1 și vă recomandăm să vă actualizați imediat site-urile.

Jouko Pynnönen, cercetător în domeniul securității la Klikki Oy, care a raportat problema, la descris ca fiind:

Dacă este declanșat de un administrator logat, în setările implicite, atacatorul poate folosi vulnerabilitatea pentru a executa un cod arbitrar pe server prin pluginul și editorii temelor.

În mod alternativ, atacatorul ar putea schimba parola administratorului, crea noi conturi de administrator sau poate face orice altceva ce poate face administratorul conectat în prezent la sistemul țintă.

Această vulnerabilitate particulară este similară celei raportate de Cedric Van Bockhaven care a fost patch-uri în WordPress 4.1.2.

Din păcate, ei nu au folosit dezvăluirea corectă a securității și au postat în mod public exploatarea pe site-ul lor. Acest lucru înseamnă că cei care nu își actualizează site-ul vor avea riscuri serioase.

Actualizați: Am aflat că au încercat să contacteze echipa de securitate WordPress, dar nu au reușit să obțină un răspuns în timp util.

Dacă nu ați dezactivat actualizările automate, atunci site-ul dvs. va fi actualizat automat.

Încă o dată, vă sfătuim cu tărie să vă actualizați site-ul la WordPress 4.2.1. Asigurați-vă că efectuați o copie de rezervă a site-ului înainte de actualizarea.