Zaledwie 3 dni po wydaniu WordPress 4.2, badacz bezpieczeństwa znalazł lukę Zero day XSS, która wpływa na WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 i 3.9.3. Pozwala to atakującemu wstrzyknąć JavaScript do komentarzy i zhakować witrynę. Zespół WordPress szybko zareagował i naprawił problem bezpieczeństwa w WordPress 4.2.1, i zdecydowanie zalecamy natychmiastową aktualizację witryn.
Jouko Pynnönen, badacz bezpieczeństwa w klik Oy, który zgłosił problem, opisał go jako:
Jeśli zostanie wywołany przez zalogowanego administratora, w ustawieniach domyślnych atakujący może wykorzystać lukę do wykonania dowolnego kodu na serwerze za pośrednictwem wtyczki i edytorów motywów.
Alternatywnie atakujący może zmienić hasło administratora, utworzyć nowe konta administratora lub zrobić cokolwiek innego, co aktualnie zalogowany administrator może zrobić w systemie docelowym.
Ta konkretna luka jest podobna do tej zgłoszonej przez Cedrica Van Bockhavena, która została załatana w wydaniu bezpieczeństwa WordPress 4.1.2.
Niestety, nie użyli WŁAŚCIWEGO ujawnienia bezpieczeństwa i zamiast tego opublikowali exploit publicznie na swojej stronie. Oznacza to, że ci, którzy nie uaktualnią swojej witryny, będą narażeni na poważne ryzyko.
Aktualizacja: Dowiedzieliśmy się, że próbowali skontaktować się z zespołem ds. bezpieczeństwa WordPress, ale nie uzyskali szybkiej odpowiedzi.
Jeśli nie wyłączyłeś automatycznych aktualizacji, Twoja witryna zostanie automatycznie zaktualizowana.
Po raz kolejny zdecydowanie zalecamy aktualizację witryny do WordPress 4.2.1. Pamiętaj, aby wykonać kopię zapasową witryny przed aktualizacją.