Internet

WordPress 4.0.1 – zakrpe za kritične ranjivosti WordPressa

WordPress je izdao novu verziju 4.0.1, koja sadrži zakrpe za 8  kritičnih ranjivosti i 23 sigurnosna nedostatka (bugs).

Tri kritične CSS (cross-site scripting) ranjivosti pogađaju verzije od 3.0 do 3.9.2, a potencijalni napadači mogu ih iskoristiti za kompromitovanje web servera umetanjem JavaScript koda u određena text polja, tačnije, “comment boxes” na postovima i stranicama WordPressa, koje inicijalno ne zahtevaju autentikaciju.

Umetnuti JS kod izvršava se prilikom pregleda komentara, bilo na blog postu, web stranici, ili sekciji “Comment” administrativnog Dashboarda.

 

Ako komentar pregleda administrator bloga tada zlonamerna skripta izvodi operacije s administratorskim privilegijama, što za posledicu ima prikriveno preuzimanje korisničkog naloga administratora, a time i sticanje nivoa  pristupa operativnom sistemu koji udomljuje WordPress.

Smatra se da su ovo najozbiljnije prijavljene ranjivosti jezgra WordPressa od 2009. Preostale ranjivosti mogu biti iskorišćene za navođenje korisnika na menjanje njihovih lozinki izvođenjem CSRF napada, uskraćivanje usluge prilikom provere lozinki, kreiranje HTTP zahteva s ranjivog servera (SSRF napad) te kompromitovanje korisničkog naloga . Prema statistici WordPressa do 20. novembra, oko 86% WP-ova je bilo ranjivo, a u vreme objave ranjivosti taj se broj popeo na oko 90%.

Približan broj ukupnih WordPress webova na internetu je nekoliko desetina miliona. Svim  korisnicima se savetuje nadogradnja WordPressa izdanim programskim rešenjima.

Leave a Reply