WordPress 4.2.1 - Sikkerhetsutgivelsen løser sikkerhetsproblemet i Nero Day XSS - Oppdater nå

Bare tre dager etter utgivelsen av WordPress 4.2, fant en sikkerhetsforsker et nullsikkerhetsproblem som påvirker WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 og 3.9.3. Dette tillater en angriper å injisere JavaScript i kommentarer og hack på nettstedet ditt. WordPress-teamet reagerte raskt og løst sikkerhetsproblemet i WordPress 4.2.1, og vi anbefaler på det sterkeste at du oppdaterer nettstedene dine umiddelbart.

Jouko Pynnönen, en sikkerhetsforsker ved Klikki Oy, som rapporterte problemet, beskrev det som:

Hvis utløst av en innlogget administrator, kan angriperen under standardinnstillinger utnytte sikkerhetsproblemet for å utføre vilkårlig kode på serveren via plugin og tema redaktører.

Alternativt kan angriperen endre administratorens passord, opprette nye administratorkontoer, eller gjøre det som den nåværende innloggede administratoren kan gjøre på målsystemet.

Denne spesielle sårbarheten ligner den som rapporteres av Cedric Van Bockhaven som ble patched i WordPress 4.1.2 sikkerhetsutgivelsen.

Dessverre har de ikke brukt riktig sikkerhetsopplysning og i stedet lagt ut utnyttelsen offentlig på deres nettsted. Dette betyr at de som ikke oppgraderer sin side, vil være i alvorlige farer.

Oppdater: Vi har lært at de prøvde å kontakte WordPress-sikkerhetslaget, men klarte ikke å få et riktig svar.

Hvis du ikke har deaktivert automatiske oppdateringer, oppdateres nettstedet ditt automatisk.

Igjen anbefaler vi sterkt at du oppdaterer nettstedet ditt til WordPress 4.2.1. Sørg for å sikkerhetskopiere nettstedet ditt før du oppdaterer.