Ένα κενό ασφαλείας στο θέμα TwentyFifteen (το οποίο είναι συνήθως προεγκατεστημένο) και στο plugin JetPack(1 εκατομμύριο+ εγκαταστάσεις), ανοίγουν τις σελίδες που το χρησιμοποιούν σε DOM (document object model) Cross-site Scripting επιθέσεις (XSS). Πιο συγκεκριμένα, το πακέτο "genericons" είναι υπεύθυνο (περιλαμβάνεται στα προαναφερθέντα θέματα/plugins).
Ο διαχειριστής θα πρέπει να είναι συνδεδεμένος σε ένα ευάλωτο WordPress website και να κλικάρει κάποιο κακόβουλο σύνδεσμο για να χρησιμοποιηθεί η ευπάθεια.
Η ευπάθεια αυτή είναι γνωστή αρκετές μέρες τώρα (πριν από τη δημοσίευσή της).
Εαν είστε διαχειριστής WordPress site με το πακέτο genericons, διαγράψτε το example.html ή μπλοκάρετε την πρόσβαση σε αυτό μέσω firewall.
Πηγή: arstechnica
Εμφάνιση 1-2 από 2
-
07-05-15, 20:58 Κενό Ασφαλείας στο Wordpress επιτρέπει επιθέσεις Cross Site Scripting #1
-
13-05-15, 01:49 Απάντηση: Κενό Ασφαλείας στο Wordpress επιτρέπει επιθέσεις Cross Site Scripting #2
εχει επιδιορθωθεί με την έκδοση του Wordpress 4.2.2
Παρόμοια Θέματα
-
Σοβαρό κενό ασφαλείας στο OpenSSL
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 75Τελευταίο Μήνυμα: 05-06-14, 19:04
Bookmarks