WordPress får patch til kritisk XSS-fejl

Udviklere af den populære WordPress-blogplatform har frigivet en kritisk sikkerhedsopdatering for at løse en sårbarhed, der kan udnyttes til at overtage websteder.

WordPress 4.2.3, der blev frigivet torsdag, løser en sårbarhed på tværs af site scripting (XSS), der kan give brugere med bidragyder- eller forfatterrollen mulighed for at gå på kompromis med et websted, sagde Gary Pendergast, et medlem af WordPress-teamet, i et blogindlæg.

Selvom dette ikke er så kritisk som en fejl, der kan udnyttes uden godkendelse, udgør det stadig en stor risiko for mange websteder, fordi kompromiset med en enkelt ikke-administrator-brugerkonto kan blive til en komplet overtagelse af websitet.

Den nye opdatering løser også en fejl med lav sværhedsgrad, der giver brugere med abonnentens tilladelse til at oprette postudkast gennem funktionen Quick Draft samt 20 andre fejl, der ikke er sikkerhed.

Webstedsadministratorer tilrådes at installere den nye version så hurtigt som muligt fra deres WordPress-dashboards. Websteder, der er konfigureret til automatiske baggrundsopdateringer, er allerede begyndt at blive rettet.

WordPress-websteder er et fælles mål for angribere, også dem, der ikke indeholder særlig værdifuld information i deres databaser. Hackere kan bruge dem til forskellige formål i deres ondsindede aktiviteter, for eksempel til at være vært for malware eller til at lancere distribuerede denial-of-service (DDoS) angreb.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.