WordPress a eliminat luni o a doua vulnerabilitate critica din platforma sa de blogging, la mai putin de o saptamana dupa ce a remediat o problema similara.
Clientii megahost.ro sunt sfatuiți sa faca upgrade la versiunea 4.2.1. Unele site-uri WordPress care folosesc plugin-ul Background Update Tester vor fi actualizate automat.
WordPress este una dintre platformele de publicare web cele mai utilizate. Prin estimarea proprie a companiei, se pare ca 23% din site-urile de pe Internet folosesc WordPress.
Cea mai recenta vulnerabilitate a fost gasita de Jouko Pynnönen de la compania finlandeza de securitate Klikki Oy. Pynnönen a descoperit ca WordPress era vulnerabil la atacuri de tip cross-site scripting daca un atacator introducea cod malware JavaScript intr-un camp de comentarii. Se pare ca scriptul rula atunci cand un administrator vedea comentariul.
In cazul in care un administrator WordPress era logat in interfata de admin atunci cand vizualiza comentariul malware, atacatorul putea executa apoi cod arbitrar pe server prin intermediul editorilor de plugin-uri si teme. De asemenea, era posibil sa se schimbe parola administratorului, sa se creeze noi conturi de administrator sau sa se manipuleze continutul de pe site. Vulnerabilitatea nu putea provoca daune daca un cititor obisnuit vizualiza comentariul.
Pe 21 aprilie, WordPress a mai eliminat o vulnerabilitate similara cu cea descoperita de Pynnönen, care permitea unui atacator sa lanseze un atac de tip cross-site scripting, din cauza unor erori de manipulare a bazelor de date MySQL.