Összefoglaló
A WordPress magas és közepes kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó akár tetszőleges kódot is futtathat a rendszeren. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A PHPMailer hibáját kihasználva a támadó tetszőleges kódot futtathat a rendszeren.
A REST API hibáját – egy speciálisan megszerkesztett kérés segítségével – kihasználva a támadó bizalmas információkat szerezhet meg a célrendszerből.
Az update-core.php és a”fallback” téma hibáját kihasználva a támadó tetszőleges kódot futtathat a felhasználó böngészőjében (XSS).
Az “uploading a Flash file” és widget szerkesztő hozzáférhetőségi módjának (accessibility mode of widget editing) hibáját kihasználva a támadó oldalon-keresztüli kéréshamisítást (CSRF) végezhet.
A multisite aktiváló kulcsok gyenge titkosítást használnak, amelyet kihasználva a támadó bizalmas információkhoz juthat hozzá.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 4.7.1-es verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Cross-Site Request Forgery (CSRF)
Information disclosure (Információ/adat szivárgás)
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org