WordPress ออกการอัปเดตความปลอดภัยไม่นานหลังจากข่าวดังกล่าวเกิดขึ้นในช่วงสุดสัปดาห์
ช่องโหว่ของ WordPress ส่งผลกระทบต่อเว็บไซต์นับล้าน
โค้ดพิสูจน์แนวคิดใหม่ที่สามารถขโมยเว็บไซต์ WordPress นับล้านได้รับการเผยแพร่แล้ว
ดูสิ่งนี้ด้วย
เมื่อการรั่วไหลของ Snowden เริ่มต้นขึ้น ก็เกิด "ความกลัวและความตื่นตระหนก" ในสภาคองเกรส
เพียงไม่กี่นาทีหลังจากการรั่วไหลของ NSA ครั้งแรกถูกเผยแพร่ โทรศัพท์ของสมาชิกสภานิติบัญญัติของสหรัฐฯ ก็เริ่มส่งเสียงพึมพำ ไม่กี่ชั่วโมงก่อนที่ชาวอเมริกันส่วนใหญ่จะรู้เรื่องกาแฟยามเช้า
อ่านตอนนี้ช่องโหว่สคริปต์ข้ามไซต์ (XSS) อาจทำให้ผู้โจมตีที่เป็นอันตรายสามารถ ยึดครองเซิร์ฟเวอร์ทั้งหมด ใช้งานแพลตฟอร์มบล็อกโดยการเปลี่ยนรหัสผ่านและสร้างบัญชีใหม่
ช่องโหว่นี้ทำงานโดยการฉีดโค้ดในส่วนความคิดเห็นของไซต์ จากนั้นจึงเพิ่มข้อความจำนวนมหาศาล ซึ่งมีมูลค่ามากกว่า 64 กิโลไบต์ ตามค่าเริ่มต้น WordPress จะไม่เผยแพร่โพสต์แรกของผู้ใช้ที่แสดงความคิดเห็นจนกว่าจะได้รับการอนุมัติ ผู้โจมตีสามารถหลอกผู้ดูแลระบบด้วยความคิดเห็นแรกที่ไม่เป็นอันตราย ซึ่งจะทำให้ความคิดเห็นที่เป็นอันตรายเพิ่มเติมจากผู้ใช้นั้นได้รับการอนุมัติโดยอัตโนมัติ
WordPress เวอร์ชัน 3.9.3, 4.1.1, 4.1.2 และเวอร์ชันล่าสุด 4.2 ได้รับผลกระทบ
Jouko Pynnonen จากฟินแลนด์ ซึ่งทำงานให้กับบริษัทรักษาความปลอดภัย Klikki Oy ให้รายละเอียด รหัสพิสูจน์แนวคิด. มันเดินตามรอยข้อบกพร่องที่คล้ายกัน ค้นพบในช่วงไม่กี่สัปดาห์ที่ผ่านมา.
Pynnonen กล่าวว่าเขาเปิดเผยช่องโหว่ดังกล่าวเนื่องจาก WordPress "ปฏิเสธความพยายามในการสื่อสารทั้งหมด" ที่เขาทำตั้งแต่เดือนพฤศจิกายน 2014
เมื่อวันจันทร์ที่ผ่านมา บริษัทได้ออกการอัปเดตความปลอดภัย "สำคัญ" WordPress 4.2.1 แก้ไขข้อบกพร่อง. (WordPress ไม่ได้ส่งคืนอีเมลเพื่อแสดงความคิดเห็นในวันนั้น)