Összefoglaló
A WordPress Cross-site Scripting (XSS) sérülékenységét jelentették, amelyet kihasználva a támadók WordPress megjegyzésekbe tudnak JavaScript kódot fecskendezni.
Leírás
A script a megjegyzés megtekintésekor fut le.
Ha egy adminisztrátor jogú felhasználó van bejelentkezve, és ő váltja ki a script futását, tetszőleges kód futtatására nyílik lehetőség a “plugin” és “theme” szerkesztőkön keresztül.
Ezen felül a támadó felülírhatja az adminisztrátor jelszavát, új adminisztratív felhasználói fiókot hozhat létre, és megtehet bármit, ami egy bejelentkezett WordPress adminisztrátor számára lehetséges.
Megoldás
Frissítse a 4.2.1-es verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Egyéb referencia: klikki.fi
Egyéb referencia: www.exploit-db.com
