Nová hlavná verzia CMS systému WordPress sa dá jednoducho hacknúť.
Predvčerom sme informovali o vzniku novej verzie, ktorá okrem iného obsahuje aj podporu emotikonov emoji. Táto verzia ale obsahovala zraniteľnosť typu zero-day-exploit. V čase jej objavenia ešte nebola dostupná záplata, no programátori WordPressu veľmi rýchlo zareagovali a do niekoľkých hodín od zverejnenia správy o potenciálnom riziku pripravili záplatu.
Ak teda používate tento redakčný systém, zbystrite pozornosť a čím skôr prejdite na verziu 4.2.1.
Ide o tzv. persistentnú chybu, cross-site scripting. Na kompromitovanie miliónov stránok bežiacich na tomto systéme stačí vložiť škodlivý kód do poľa pre komentár v spodnej časti. Odtiaľto môžu útočníci prevziať administrátorské práva k celému systému. Kód, ktorý sa spracuje cez CMS pridá obrovské množstvo textu v počte asi 66 000 znakov alebo viac ako 64 kB.
Zdroj: Ars Technica
