WordPress 4.2.1 - Beveiligingsoplossingen Lost Zero Day XSS-beveiligingslek op - Nu bijwerken

Slechts drie dagen na de release van WordPress 4.2, vond een beveiligingsonderzoeker een zero-dag XSS-kwetsbaarheid die invloed heeft op WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 en 3.9.3. Hierdoor kan een aanvaller JavaScript in reacties invoegen en uw site hacken. Het WordPress-team reageerde snel en repareerde het beveiligingsprobleem in WordPress 4.2.1. We raden u ten zeerste aan om uw sites onmiddellijk bij te werken.

Jouko Pynnönen, een beveiligingsonderzoeker bij Klikki Oy, die het probleem meldde, beschreef het als:

Indien geactiveerd door een aangemelde beheerder, kan de aanvaller onder standaardinstellingen het beveiligingslek gebruiken om willekeurige code op de server uit te voeren via de plug-in en thema-editors.

Als alternatief kan de aanvaller het beheerderswachtwoord wijzigen, nieuwe beheerdersaccounts maken of al het andere doen wat de beheerder die op dit moment is ingelogd op het doelsysteem kan doen.

Deze kwetsbaarheid is vergelijkbaar met die van Cedric Van Bockhaven die gepatcht is in de beveiligingsupdate van WordPress 4.1.2.

Jammer genoeg gebruikten ze niet de juiste beveiliging en plaatsten ze de exploit publiekelijk op hun site. Dit betekent dat degenen die hun site niet upgraden ernstige risico's lopen.

Bijwerken: We hebben geleerd dat ze contact probeerden te maken met het WordPress-beveiligingsteam, maar niet tijdig reageerden.

Als u automatische updates niet hebt uitgeschakeld, wordt uw site automatisch bijgewerkt.

We raden u nogmaals aan om uw site bij te werken naar WordPress 4.2.1. Maak een back-up van uw site voordat u de update uitvoert.