Af Torben B. Sørensen, 02/02/17
Den seneste opdatering fra WordPress lukkede et meget alvorligt sikkerhedshul, som firmaet ikke fortalte om i første omgang.
Sikkerhedsfirmaet Sucuri har opdaget sårbarheden, der giver en angriber mulighed for at ændre indholdet på et WordPress-baseret websted.
Fejlen blev rettet med WordPress 4.7.2, som WordPress udsendte i sidste uge. Men dengang oplyste firmaet kun, at opdateringen fjernede tre mindre alvorlige sårbarheder.
Årsagen var ifølge Sucuri, at man gerne ville give flest muligt chance for at installere opdateringen, før man oplyste om det alvorlige sikkerhedshul.
Anbefaling
Opdater hurtigst muligt til WordPress 4.7.2, hvis I ikke har gjort det.
Links
- Content Injection Vulnerability in WordPress, Sucuri
- WordPress Delayed Disclosure of Critical Vulnerability, artikel fra SecurityWeek
- WordPress fixed god-mode zero day without disclosing the problem, artikel fra The Register
- WordPress lukker tre sikkerhedshuller, DKCERT, 27-01-2017