Összefoglaló
A Jetpack – egy népszerű WordPress plugin – sérülékenysége vált ismertté, amelyet kihasználva a támadók XSS (Cross-site Scripting) támadást képesek végrehajtani.
Leírás
A hiba a plugin ‘Short code embeds‘ modulját érinti. A kihasználás során a támadók rosszindulatú Javascript kódot juttathatnak be kommentként. Ezzel lehetőségük adódik (többek között) az oldalt látogatók eltérítésére rosszindulatú webhelyek felé.
Megoldás
Frissítés (dashboard-on keresztül/manuálisan) a javított verziók valamelyikére. (Javasolt a legújabb, 4.0.3 -as verzió használata.)
- 2.0.x-2.0.7
- 2.1.x-2.1.5
- 2.2.x-2.2.8
- 2.3.x-2.3.8
- 2.4.x-2.4.5
- 2.5.x-2.5.3
- 2.6.x-2.6.4
- 2.7.x-2.7.3
- 2.8.x-2.8.3
- 2.9.x-2.9.4
- 3.0.x-3.0.4
- 3.1.x-3.1.3
- 3.2.x-3.2.3
- 3.3.x-3.3.4
- 3.4.x-3.4.4
- 3.5.x-3.5.4
- 3.6.x-3.6.2
- 3.7.x-3.7.3
- 3.8.x-3.8.3
- 3.9.x-3.9.7
- 4.0.x-4.0.3
Azok a felhasználók, akik Akismet-et vagy VaultPress 1.8.3-át használnak már védettek.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hijacking (Visszaélés)
Redirecting traffic
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: jetpack.com
Egyéb referencia: blog.sucuri.net
Egyéb referencia: www.heise.de