WordPress løser lydløs farlig kodeindsprøjtningssårbarhed

Udviklere af det bredt anvendte WordPress-indholdsstyringssystem frigav en opdatering i sidste uge, men forsætligt forsinket med at meddele, at patch'en adresserede en alvorlig sårbarhed.

WordPress version 4.7.2 blev frigivet den 26. januar som en sikkerhedsopdatering, men de ledsagende frigivelsesnotater nævner kun rettelser til tre moderate risikosårbarheder, hvoraf den ene ikke engang påvirkede platformens kernekode.

Onsdag, en uge senere, afslørede WordPress-sikkerhedsteamet, at en fjerde sårbarhed, meget mere alvorlig end de andre, også blev opdateret i version 4.7.2.

Sårbarheden blev opdaget af forskere fra websikkerhedsfirma Sucuri og blev rapporteret privat til WordPress-teamet den 20. januar. Den er placeret i platformens REST API (applikationsprogrammeringsgrænseflade) og tillader uautoriserede angribere at ændre indholdet af ethvert indlæg eller en side inden for en WordPress-websted.

"Vi mener, at gennemsigtighed er i offentlighedens bedste interesse," sagde WordPress-kerneudvikler Aaron Campbell i et blogindlæg onsdag. "Det er vores holdning, at sikkerhedsspørgsmål altid skal afsløres. I dette tilfælde forsinkede vi med vilje at afsløre dette problem med en uge for at sikre sikkerheden i millioner af yderligere WordPress-websteder."

Ifølge Campbell nåede WordPress-udviklere, efter at have lært om fejlen, til sikkerhedsfirmaer, der opretholder populære webapplikations firewalls (WAF'er), så de kan anvende beskyttelsesregler mod mulige udnyttelser. De kontaktede derefter store WordPress-hostingfirmaer og rådgav dem om, hvordan man implementerer beskyttelse for deres kunder, før en officiel patch blev frigivet.

Sårbarheden påvirker kun WordPress 4.7 og 4.7.1, hvor REST API er aktiveret som standard. Ældre versioner påvirkes ikke, selvom de har REST API-plug-in.

"Vi vil også gerne takke WAF'erne og værterne, der arbejdede tæt sammen med os for at tilføje yderligere beskyttelse og overvågede deres systemer for forsøg på at bruge denne udnyttelse i naturen," sagde Campbell. "Fra i dag, så vidt vi ved, har der ikke været nogen forsøg på at udnytte denne sårbarhed i naturen."

Selvom det er gode nyheder, betyder det ikke, at angribere ikke vil begynde at udnytte denne sårbarhed, nu når informationen er ude. WordPress er den mest populære platform til websidebygning, hvilket gør det til et meget attraktivt mål for hackere.

Webmastere skal sørge for, at de opdaterer deres WordPress-websteder til version 4.7.2 så hurtigt som muligt, hvis de ikke har gjort det endnu.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.