Jetpack WordPress plugin sérülékenysége

CH azonosító

CH-13280

Angol cím

Jetpack WordPress plugin vulnerability

Felfedezés dátuma

2016.05.30.

Súlyosság

Magas

Érintett rendszerek

Jetpack
WordPress

Érintett verziók

WordPress Jetpack 2.0 <

Összefoglaló

A Jetpack – egy népszerű WordPress plugin – sérülékenysége vált ismertté, amelyet kihasználva a támadók XSS (Cross-site Scripting) támadást képesek végrehajtani.

Leírás

A hiba a plugin ‘Short code embeds‘ modulját érinti. A kihasználás során a támadók rosszindulatú Javascript kódot juttathatnak be kommentként. Ezzel lehetőségük adódik (többek között) az oldalt látogatók eltérítésére rosszindulatú webhelyek felé.

Megoldás

Frissítés (dashboard-on keresztül/manuálisan) a javított verziók valamelyikére. (Javasolt a legújabb, 4.0.3 -as verzió használata.) 

  • 2.0.x-2.0.7 
  • 2.1.x-2.1.5 
  • 2.2.x-2.2.8 
  • 2.3.x-2.3.8 
  • 2.4.x-2.4.5 
  • 2.5.x-2.5.3 
  • 2.6.x-2.6.4 
  • 2.7.x-2.7.3 
  • 2.8.x-2.8.3 
  • 2.9.x-2.9.4 
  • 3.0.x-3.0.4 
  • 3.1.x-3.1.3 
  • 3.2.x-3.2.3 
  • 3.3.x-3.3.4 
  • 3.4.x-3.4.4 
  • 3.5.x-3.5.4 
  • 3.6.x-3.6.2 
  • 3.7.x-3.7.3 
  • 3.8.x-3.8.3 
  • 3.9.x-3.9.7 
  • 4.0.x-4.0.3 

Azok a felhasználók, akik Akismet-et vagy  VaultPress 1.8.3-át használnak már védettek.