[220x211]Система управления контентом WordPress за неделю закрывает вторую критическую уязвимость, и администраторам рекомендовано обновиться до версии 4.2.1. Веб-сайты с плагином Background Update Tester установят обновление автоматически.
Любая уязвимость WordPress опасна за счёт популярности данной платформы. По собственной статистике WordPress этот движок установлен и используется на 23% веб-сайтов глобальной сети. Очередную критическую уязвимость нашёл сотрудник финской компании Klikki Oy и относится она к межсайтовому скриптингу при внедрении в комментарии вредоносного кода на JavaScript. Скрипт активируется при просмотре комментариев пользователями.
Если администратор сайта находится в системе при просмотре вредоносного комментария, злоумышленник может выполнить произвольный код на сервере через плагин и редакторы тем. Далее можно поменять пароль администратора, создать новые аккаунты администраторов и редактировать содержимое сайта. Кроме того, эта уязвимость позволяет проникнуть и на хостинг. Этой же финской компанией была обнаружена другая уязвимость в ноябре прошлого года.
21 апреля была закрыта похожая уязвимость WordPress. Тогда межсайтовый скриптинг был возможен через комментарии, задействуя базу данных MySQL. Исследователь Седрик Ван Бокхавен написал код для добавления нового пользователя в список администраторов. Также уязвимость позволяла скачать плагин, который запускал на сервере вредоносный код.
Если вы пользуетесь более старыми версиями WordPress, то вам необходимо произвести обновление до последней версии 4.2.1 !!!