WordPress lukker to sikkerhedshuller

Artiklen blev oprindeligt publiceret den 3/2/2016

Udviklerne af WordPress har lukket to sikkerhedshuller.

Den ene sårbarhed er af typen SSRF (Server Side Request Forgery). Den type sårbarhed giver en angriber adgang til at angribe det interne netværk eller den server, som WordPress kører på.

Den anden sårbarhed kan udnyttes til at sende besøgende videre til en anden server. Det kan udnyttes til phishing-angreb, hvor offeret ser adressen på et websted, der er tillid til, hvorefter vedkommende omdirigeres til angriberens websted.

Fejlene er rettet i WordPress 4.4.2.

Ifølge sikkerhedsfirmaet Wordfence fjerner den nye version også en anden SSRF-sårbarhed, som de rapporterede til WordPress i marts 2015. Den oplysning har WordPress foreløbig ikke kommenteret.

Anbefaling
Opdater til WordPress 4.4.2.

Links

• WordPress 4.4.2 Security and Maintenance Release
• WordPress 4.4.2 Security Release – Why you need to update immediately, Wordfence
• WordPress 4.4.2 Patches Open Redirect, SSRF Flaws, SecurityWeek