Af Eskil Sørensen, 08/09/22
WordPress-teamet har i sidste uge med udgivelsen af version 6.0.2 af det populære CMS patchet tre sikkerhedsfejl, hvoraf den ene er alvorlig. Denne er en såkaldt SQL-injection, der gør det muligt for en angriber at forstyrre de forespørgsler, som en applikation foretager til sin database og fx se data, som de normalt ikke er i stand til at hente.
Det skriver Security Week.
Fejlen findes i WordPress Link-funktionaliteten, der tidligere var kendt som 'Bogmærker'. Den påvirker kun ældre installationer, da funktionen er deaktiveret som standard på nye installationer.
Ifølge Wordpress’ sikkerhedsafdeling, Wordfence, kan funktionaliteten stadig være aktiveret på millioner af ældre WordPress-websteder, selvom de kører nyere versioner af CMS'et.
Fejlen har fået en score på CVSS-skalaen på 8.0 og kræver administrative privilegier for at udnytte. Der kan ifølge Wordfence dog være plugins eller temaer, der gør det muligt at udløse den af brugere med lavere privilegier (såsom editor-niveau og derunder).
De to andre sårbarheder, der behandles i Wordpress 6.0.2, er cross-site scripting (XSS)-fejl forårsaget af brugen af 'the_meta'-funktionen og af plugin-deaktivering og -sletningsfejl.
Administratorer af hjemmesider rådes til at opdatere til WordPress 6.0.2 så hurtigt som muligt. Er der slået automatisk opdatering til bliver den automatisk leveret. Patcherne er blevet backporteret til WordPress 3.7 og nyere versioner, bemærkes det.
Links:
https://www.securityweek.com/wordpress-602-patches-vulnerability-could-impact-millions-legacy-sites