WordPress lukker alvorligt hul

Artiklen blev oprindeligt publiceret den 28/4/2015

Udviklerne af WordPress har lukket et alvorligt sikkerhedshul af typen cross-site scripting.

Sårbarheden er fjernet i WordPress 4.2.1.

En angriber kan udnytte sårbarheden ved at indsende en kommentar på 64 KB. Det kan medføre, at script-kommandoer bliver indlejret. Hvis angriberen derefter kan lokke en administrator til at se kommentaren, udføres de kommandoer, angriberen har indlejret i den.

Sikkerhedsforsker Jouko Pynnönen offentliggjorde sårbarheden den 26. april. Han var frustreret over, at WordPress ikke reagerede på gentagne henvendelser om sårbarheden.

Nogle timer efter offentliggørelsen udsendte WordPress den rettede version og takkede sikkerhedsforskeren for opdagelsen.

Anbefaling
Opdater til WordPress 4.2.1.

Links

• WordPress 4.2 Stored XSS, blogindlæg af Jouko Pynnönen
• WordPress 4.2.1 Security Release
• Comments considered harmful: WordPress web hijack bug revealed, artikel fra The Register