Deweloperzy WordPressa załatali groźną lukę

24-11-2014, 16:48

Korzystasz z WordPressa? Koniecznie zaktualizuj go do najnowszej, wydanej w ubiegłym tygodniu wersji 4.0.1, by uniknąć ataków.

Chociaż WordPress został zaprojektowany głównie do obsługi blogów, od lat jest wykorzystywany do zarządzania treścią pełnowymiarowych stron internetowych i może pochwalić się 23-proc. udziałem w globalnym rynku CMS-ów.

Drupageddon, groźną lukę w mniej rozpowszechnionym CMS-ie, media pominęły milczeniem. Myślicie, że z usterką w WordPressie było inaczej? Poniekąd. Z polskich serwisów branżowych skrótowo ją opisała m.in. Zaufana Trzecia Strona.

WordPress

Fot. Gil C / Shutterstock.com

Co wiemy? Na atak, którego szczegółowe wyjaśnienie można znaleźć na stronie jego odkrywcy, Jouko Pynnonena, podatna jest wersja 3.9.2 i wcześniejsze - deweloperzy zalecają zaktualizowanie wszystkich do świeżo wydanej 4.0.1, gdyż nie planują ich więcej wspierać.

Krótko mówiąc, mamy do czynienia z atakiem XSS (ang. cross-site scripting), czyli z wstrzyknięciem kodu napisanego w JavaScripcie do komentarza, co umożliwia przejęcie kontroli nad stroną w momencie, gdy administrator zaloguje się do swojej konsoli. Usunięcie zmodyfikowanego komentarza spowoduje, że atak pozostanie niewidoczny dla administratora.

Usterki pozwalające na atak XSS zasadniczo nie należą do rzadkości, a im większy zasięg ma dana usługa, tym większych należy spodziewać się szkód. Zwlekanie z instalacją udostępnionej poprawki nie jest dobrym pomysłem. Usuwa ona zresztą także sporo luk o mniejszym znaczeniu.


  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Czerwiec 2019»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930