WordPress sérülékenységek

CH azonosító

CH-13858

Angol cím

Wordpress voulnerabilities

Felfedezés dátuma

2017.01.25.

Súlyosság

Magas

Érintett rendszerek

WordPress

Érintett verziók

WordPress 4.7.2-nél korábbi verziók

Összefoglaló

A WordPress három magas kockázati besorolású sérülékenysége vált ismertté, amelyek a WordPress 4.7.1 és korábbi verziókat érintik. 

Leírás

A WordPress 4.7.2-nél korábbi verziókat több sérülékenység is érinti. A wp-includes/class-wp-query.php-ban található SQL injection a támadó számára tetszőleges SQL parancs futtatását teszi lehetővé, míg a  wp-admin/includes/class-wp-posts-list-table.php sérülékenysége XSS támadáshoz használható fel. A wp-admin/includes/class-wp-press-this.php sérülékenysége a felhasználói korlátozások megkerülését teszi lehetővé.

Frissítés:

Az új verzióban egy további, az előzőekben nem részletezett kritikus sérülékenységet is javítottak. A biztonsági rés kihasználásával a támadó a REST API végponton keresztül jogosultság kiterjesztést érhet el, amely következtében bármely tartalom szabadon megváltoztatható a weboldalon. A sérülékenységet a nyilvánosságra hozatalt követően kevesebb, mint 48 órán belül a támadók már aktívan ki is használták.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítés WordPress 4.7.2 verzióra.

Hivatkozások

Gyártói referencia: wordpress.org
Gyártói referencia: make.wordpress.org
Egyéb referencia: web.nvd.nist.gov
Egyéb referencia: web.nvd.nist.gov
Egyéb referencia: web.nvd.nist.gov
Egyéb referencia: cwe.mitre.org
Egyéb referencia: cwe.mitre.org
Egyéb referencia: wpvulndb.com
Egyéb referencia: wpvulndb.com
Egyéb referencia: wpvulndb.com
CVE-2017-5611 - NVD CVE-2017-5611
CVE-2017-5610 - NVD CVE-2017-5610
CVE-2017-5612 - NVD CVE-2017-5612