WordPress je izdao sigurnosno ažuriranje nedugo nakon što su vijesti objavljene tijekom vikenda.
Ranjivost WordPressa utječe na milijune stranica
Objavljen je novi kod za dokaz koncepta koji bi mogao oteti milijune WordPress web stranica.
Vidi također
Kako je počelo curenje informacija o Snowdenu, u Kongresu je zavladao "strah i panika".
Samo nekoliko minuta nakon što je objavljeno prvo curenje informacija iz NSA-e, telefoni američkih zakonodavaca počeli su zujati, satima prije nego što će većina Amerike to saznati uz jutarnju kavu.
Čitaj SADRanjivost cross-site scripting (XSS) mogla bi zlonamjernom napadaču omogućiti da preuzeti cijeli server pokretanje platforme za bloganje mijenjanjem lozinki i stvaranjem novih računa.
Ranjivost funkcionira tako što ubacuje kod u odjeljak s komentarima na web mjestu, a zatim dodaje ogromnu količinu teksta -- vrijedan više od 64 kilobajta. Prema zadanim postavkama, WordPress ne objavljuje prvu objavu korisnika koji komentira dok se ne odobri. Napadač tako može prevariti administratora benignim prvim komentarom, što bi omogućilo da se dalji zlonamjerni komentari tog korisnika automatski odobravaju.
Zahvaćene su verzije WordPressa 3.9.3, 4.1.1, 4.1.2 i najnovija verzija 4.2.
Jouko Pynnonen iz Finske, koji radi za zaštitarsku tvrtku Klikki Oy, s detaljima kod za dokaz koncepta. Slijedi tragove slične mane otkrivenih posljednjih tjedana.
Pynnonen je rekao da je otkrio ranjivost jer je WordPress "odbio sve pokušaje komunikacije" koje je napravio od studenog 2014.
U ponedjeljak je tvrtka izdala "kritično" sigurnosno ažuriranje, WordPress 4.2.1, rješavanje mane. (WordPress nije vratio e-poštu za komentar kasnije tijekom dana.)