Hacker

Bezpečnostní aktualizace: WordPress 4.2.1. opravuje zranitelnost Zero Day XSS

Pouze tři dni po vydání WordPressu 4.2 přichází bezpečnostní aktualizace. Kromě verze 4.2.1 vychází také aktualizace i pro starší WordPress instalace (4.1.1, 4.1.3, a 3.9.3).

V aktualizaci dochází k odstranění zranitelnosti Zero Day XSS, která dovoluje útočníkovi podstrčit JavaScript přes komentář a hacknout vám stránku. Tato aktualizace je velmi důležitá a pokud jste tak neučinili doposud, měli by jste aktualizovat svůj WordPress co nejdříve.

Cross-site scripting (XSS) je metoda narušení WWW stránek využitím bezpečnostních chyb ve skriptech (především neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní javascriptový kód, což může využít buď pouze k poškození vzhledu stránky, jejímu znefunkčnění, získávání citlivých údajů návštěvníků stránek nebo obcházení bezpečnostních prvků aplikace. Často je též využíván při phishingu tak, že je skrze XSS zranitelnosti uživateli ukázán jiný obsah na jinak důvěryhodné stránce.

Bezpečnostní chybu nalezl Jouko Pynnönen a její popis se poprvé objevil na serveru Klikki Oy. Bezpečnostní chybu popsal následovně:

Po spuštění přihlášením administrátorem je útočník v základním nastavení WordPressu schopný spustit další nebezpečný kód přes editor pluginu nebo šablony.

Dále pak může změnit heslo administrátora, vytvořit nový administrátorský účet nebo udělat cokoliv k čemu má v současné době přihlášený uživatel práva.

Jouko chybu nejdříve zveřejnil na svých stránkách a dokonce udělal i video. Tím pádem je hack poměrně profláknutý.

Jako vždy, pokud máte vše aktualizované jste v bezpečí.

 

Neuteklo vám něco?

Pokrok a WordPress na nikoho nečekají, tak nám tu raději nechte email, ať o nic nepřijdete!

Nespamujeme! Další informace naleznete v našich zásadách ochrany osobních údajů.

Správa WordPress webu

Nemusíte na to být sami. Pomůžeme vám s pravidelnou údržbou i novými vylepšeními.

Více informací

6 názorů na “Bezpečnostní aktualizace: WordPress 4.2.1. opravuje zranitelnost Zero Day XSS”

    1. Tomáš Cirkl

      Zdravím,

      není. Nejstarší verze, pro kterou je aktualizace jej 3.9.

      1. děkuji za info… oprava mám v 3.3.2. a ta je zřejmě také zranitelná tímto způsobem?
        Pokud ano, stále se nemohu rozhodnout zda WP aktualizovat a ještě na jakou verzi. Jako zkušený WP mi doporučuje co? Hlavně se obávám, aby všechny mé pluginy byly aktuální s danou verzí.

        1. Tomáš Cirkl

          Chyba byla odstraněna pouze pro verze 4.2, 4.1.2, 4.1.1, and 3.9.3. Pro starší verze určitě doporučuji udělat kompletní aktualizaci. Pokud se bojíte, že by mohlo dojít k pádu webu udělejte si před aktualizací zálohu, s kterou v případě potřeby budete moci web obnovit do funkčního stavu.

Diskuze

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Nákupní košík
Přejít nahoru