WordPress obecně

Bezpečnostní aktualizace: WordPress 4.2.1. opravuje zranitelnost Zero Day XSS

Hacker
Autor příspěvku Tomáš Cirkl

Pouze tři dni po vydání WordPressu 4.2 přichází bezpečnostní aktualizace. Kromě verze 4.2.1 vychází také aktualizace i pro starší WordPress instalace (4.1.1, 4.1.3, a 3.9.3).

V aktualizaci dochází k odstranění zranitelnosti Zero Day XSS, která dovoluje útočníkovi podstrčit JavaScript přes komentář a hacknout vám stránku. Tato aktualizace je velmi důležitá a pokud jste tak neučinili doposud, měli by jste aktualizovat svůj WordPress co nejdříve.

Cross-site scripting (XSS) je metoda narušení WWW stránek využitím bezpečnostních chyb ve skriptech (především neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní javascriptový kód, což může využít buď pouze k poškození vzhledu stránky, jejímu znefunkčnění, získávání citlivých údajů návštěvníků stránek nebo obcházení bezpečnostních prvků aplikace. Často je též využíván při phishingu tak, že je skrze XSS zranitelnosti uživateli ukázán jiný obsah na jinak důvěryhodné stránce.

Bezpečnostní chybu nalezl Jouko Pynnönen a její popis se poprvé objevil na serveru Klikki Oy. Bezpečnostní chybu popsal následovně:

Po spuštění přihlášením administrátorem je útočník v základním nastavení WordPressu schopný spustit další nebezpečný kód přes editor pluginu nebo šablony.

Dále pak může změnit heslo administrátora, vytvořit nový administrátorský účet nebo udělat cokoliv k čemu má v současné době přihlášený uživatel práva.

Jouko chybu nejdříve zveřejnil na svých stránkách a dokonce udělal i video. Tím pádem je hack poměrně profláknutý.

Jako vždy, pokud máte vše aktualizované jste v bezpečí.

 

O autorovi

Tomáš Cirkl

Baví mě Internet a zvláště pak redakční systém WordPress. Jsem pravidelným účastníkem a přednášejícím na WordCamp Praha a WordPress konferencích.

6 komentářů

      • děkuji za info… oprava mám v 3.3.2. a ta je zřejmě také zranitelná tímto způsobem?
        Pokud ano, stále se nemohu rozhodnout zda WP aktualizovat a ještě na jakou verzi. Jako zkušený WP mi doporučuje co? Hlavně se obávám, aby všechny mé pluginy byly aktuální s danou verzí.

        • Chyba byla odstraněna pouze pro verze 4.2, 4.1.2, 4.1.1, and 3.9.3. Pro starší verze určitě doporučuji udělat kompletní aktualizaci. Pokud se bojíte, že by mohlo dojít k pádu webu udělejte si před aktualizací zálohu, s kterou v případě potřeby budete moci web obnovit do funkčního stavu.

Zanechat komentář

Získejte více informací o WordPress!

Připojte se do našeho emailového seznamu a nenechte si ujít informace, novinky a návody ze světa WordPressu.

Úspěšně jste se zapsali do našeho newsletteru. Děkujeme!

Tomáš Cirkl

Tomáš Cirkl

WordPress specialista

Blog WPlama.cz píši už více než 5 let. O WordPress přednáším a pořádám školení. Pro své klienty vytvářím a spravuji webové stránky.