WordPress løser aktivt udnyttet fejl

En ny WordPress-version, der blev frigivet torsdag, løser to kritiske cross-site scripting (XSS) sårbarheder, der kunne give angribere mulighed for at kompromittere websteder.

En af manglerne er placeret i Genericons-ikonet fontpakke, der bruges af flere populære temaer og plug-ins, herunder standard TwentyFifteen WordPress-tema.

Forskere fra websikkerhedsfirmaet Sucuri advarede onsdag om, at de allerede har set angreb rettet mod denne XSS-sårbarhed.

For at udnytte det, er angribere nødt til at narre brugerne til at klikke på specifikt udformede links, men når de først gør det, kan de udnytte fejlen ved at stjæle godkendelsescookies. Hvis offeret er et websteds administrator, kunne de få fuld kontrol over dette websted.

Sårbarheden kan afhjælpes ved at fjerne filen eksempel.html, der er en del af Genericons-pakken, eller ved at opgradere til den nyligt frigivne WordPress 4.2.2.

"Alle berørte temaer og plugins, der er hostet på WordPress.org (inklusive standardtemaet Twenty Fifteen), er blevet opdateret i dag af WordPress-sikkerhedsteamet for at løse dette problem ved at fjerne denne ikke-væsentlige fil," sagde WordPress-udviklerne i udgivelsesmeddelelsen.

Når det er installeret, scanner WordPress 4.2.2 stedets bibliotek for den sårbare HTML-fil og fjerner alle forekomster af den.

Derudover lapper den nye version en anden kritisk script-fejl på tværs af websteder, som ifølge WordPress-udviklerne kunne lade anonyme brugere gå på kompromis med et websted. Det hærder også forsvaret for et potentielt XSS-problem i den visuelle editor.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.