WordPress lapper hurtigt den anden kritiske sårbarhed

WordPress lappede en anden kritisk sårbarhed i sin web-publiceringsplatform mandag, mindre end en uge efter at have løst et lignende problem.

Administratorer opfordres til at opgradere til WordPress version 4.2.1. Nogle WordPress-websteder, der er kompatible med og bruger et plugin kaldet Background Update Tester, opdateres automatisk.

WordPress er en af ​​de mest brugte Web-publiceringsplatforme. Efter virksomhedens egne skøn kører det 23 procent af webstederne på Internettet, inklusive store udgivere som Time og CNN.

Den seneste fejl blev fundet af Jouko Pynnönen [cq] fra Klikki Oy, en Finish-softwarevirksomhed. Pynnönen fandt, at WordPress var sårbar over for en script-fejl på tværs af websteder, hvis en angriber indsatte ondsindet JavaScript i et kommentarfelt. Scriptet kører, når nogen ser kommentaren ifølge en rådgivende.

Fejl på tværs af scripting er blandt de farligste og mest almindelige websårbarheder, hvilket giver mulighed for at køre useriøs kode, som burde være forbudt.

Hvis en WordPress-administrator er logget ind, når den ondsindede kommentar vises, kan angriberen derefter udføre vilkårlig kode på serveren via plugin- og temareditorer. Det er også derefter muligt at ændre administratorens adgangskode, oprette nye administratorkonti eller manipulere indhold på et websted. Sårbarheden kan ikke forårsage skade fra en almindelig læser, der ser kommentaren.

Klikki Oy hævdede, at WordPress var ophørt med at kommunikere med det i november sidste år, da Klikki fandt en anden sårbarhed i WordPress. Klikki sagde med den seneste fejl, at den også havde forsøgt at underrette WordPress gennem den finske computersikkerhedsautoritet, CERT-FI og HackerOne, som tilbyder en service til styring af sårbarhedsrapporter og belønninger.

Den 21. april lappede WordPress en sårbarhed, der ligner den, Pynnönen stødte på. Cedric Van Bockhaven [cq] fandt, at WordPress var sårbar over for et script-angreb på tværs af steder, der involverede kommentarer på grund af en MySQL-databaseadfærd, som det tillod.

Han fandt, at useriøs kode kunne udføres, når en person blev svævet over et ondsindet script, der blev indsat i et kommentarfelt. Proof-of-concept-kode skrevet af Van Bockhaven viste, hvordan en ny bruger kunne tilføjes i administrationspanelet. Fejlen kan også bruges til at downloade et plugin, der kører ondsindet server-sides kode, skrev han på sin blog.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.