Összefoglaló
A WordPress két közepes kockázati besorolású sérülékenysége vált ismertté, melyeket kihasználva a hitelesítéssel nem rendelkező támadó Cross-Site Scripting (XSS) alapú támadásokat, illetve ún. directory traversal támadást hajthat végre az érintett rendszeren. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A sérülékenységeket az elégtelen felhasználói adatellenőrzés okozza. A biztonsági rés kihasználása érdekében, a hitelesítéssel nem rendelkező támadó ráveheti az áldozatot, hogy egy hivatkozásra kattintva rosszindulatú adatot küldjön az érintett rendszer számára, vagy a gyanútlan felhasználó böngészőjét tetszőleges weboldalra irányíthatja át. A sérülékenységek emellett azt is lehetővé teszik a támadó számára, hogy XSS támadást hajtson végre, vagy az érintett rendszeren tetszőleges állományhoz férhessen hozzá.
Megoldás
Frissítsen a WordPress 4.6.1-es verziójára.
Támadás típusa
Cross Site Scripting (XSS/CSS)Directory Traversal (könyvtárkeresztezéses támadás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: wordpress.org
Egyéb referencia: tools.cisco.com