Plugin-ul bbPress, detinut si administrat de Automattic (proprietarul WordPress), a primit recent un update critic de securitate care elimina o vulnerabilitate de tip cross-site scripting (XSS). Aceasta ar putea fi exploatata de catre persoane rau voitoare pentru a redirectiona vizitatorii catre site-uri care gazduiesc malware.
Daca vulnerabilitatea este exploatata cu succes, un atacator poate introduce cod JavaScript malitios in postarile de pe un forum construit cu bbPress si poate prealua controlul asupra conturilor de utilizator, pentru a executa diverse operatiuni in numele acestora.
Totul a pornit de la o functie PHP numita bbp_mention_filter, care are rolul de a gasi userii mentionati pe forum cu ajutorul simbolului “@”, si care trimite pe profilul acestora. Problema pare sa fi fost felul in care bbPress facea aceste legaturi, fara sa verifice inainte daca simbolul “@” se afla deja printre atributele din interiorul unui tag HTML, fapt care ar compromite hyperlink-ul si ar permite unui atacator sa insereze cod JavaScript malitios. Astfel, codul malitios ar fi executat ori de cate ori postarea este vizionata de catre un utilizator.
Vulnerabilitatea afecteaza toate versiunile bbPress 2.x, pana la 2.5.8. In concluzie, rugam toti clientii care folosesc acest plugin sa faca update imediat la ultima versiune securizata, bbPress 2.5.9.
Folosesc WordPress de cativa ani, incusiv la munca. Lucram in domeniul bancar, iar un update care rezolva problema securitatii e foarte bine venit.
Multumim!
Sper sa se rezolve aceasta problema. Va urez mult noroc si spor !
Este bine ca exista o versiune care sa evite accesarea de virusi.
Folosesc WordPress de cativa ani, iar un update care sa rezolve aceasta problema ar fi ideal. Mult succes!
Un update care rezolva problema securitatii e foarte bine venit.
Multumim!
Un update folositor! Mulțumim de articol.
Mă bucur să văd acest update!! Mulțumim pentru update
Bine ca avem la dispozitie versiunea securizata. Multumim de instiintare!
Un update care rezolva problema securitatii e foarte bine venit.
Mult succes!