Patch de securitate XSS in versiunea Worpdress 5.1.1

wordpress5.1.1

WordPress a anuntat de curand ca a descoperit o vulnerabilitate ce ar putea permite unui atacator neautorizat sa execute codul de la distanta si sa preia controlul asupra website-ului vulnerabil.

Vulnerabilitatea afecteaza modul in care comentariile sunt filtrate si apoi stocate in baza de date, astfel ca orice instalare WordPress anterioara versiunii 5.1.1 cu comentarii activate este vulnerabila.

In teorie, pare un atac foarte greu de realizat. In fapt, aceasta eroare poate fi exploatata prin legarea a doua tipuri de atac: eroare de tip Forgery Cross-Site (CSRF) și o vulnerabilitate XSS (Cross Site Scripting). Pentru a exploata vulnerabilitatea, atacatorul trebuie sa insele administratorul platformei sa dea click pe un link rau intentionat. Odata ce se face click pe acel link, un script va efectua un atac CSRF pentru ca browserul administratorului sa posteze un nou comentariu, exploatand bug-ul XSS pe site-ul sau.

Pentru a va proteja impotriva acestei vulnerabilitati, recomandam actualizarea platormei Worpdress la versiunea 5.1.1 cat mai curand posibil.

Desi este disponibila si versiunea 5.2 Beta 1, WordPress o recomanda momentan doar pentru testing ci nu pentru a rula pe un site in productie.

Detalii aici.

Lasa un mesaj