Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 28/4/2015
Udviklerne af WordPress har lukket et alvorligt sikkerhedshul af typen cross-site scripting.Sårbarheden er fjernet i WordPress 4.2.1.
En angriber kan udnytte sårbarheden ved at indsende en kommentar på 64 KB. Det kan medføre, at script-kommandoer bliver indlejret. Hvis angriberen derefter kan lokke en administrator til at se kommentaren, udføres de kommandoer, angriberen har indlejret i den.
Sikkerhedsforsker Jouko Pynnönen offentliggjorde sårbarheden den 26. april. Han var frustreret over, at WordPress ikke reagerede på gentagne henvendelser om sårbarheden.
Nogle timer efter offentliggørelsen udsendte WordPress den rettede version og takkede sikkerhedsforskeren for opdagelsen.
Anbefaling
Opdater til WordPress 4.2.1.