WordPress 4.2.1 – SĂ€kerhetsrelease fixar Zero Day XSS-sĂ„rbarhet – Uppdatera nu

WordPress XSS Security

Bara tre dagar efter slÀppandet av WordPress 4.2 hittade en sÀkerhetsforskare en Zero day XSS-sÄrbarhet som pÄverkar WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 och 3.9.3. Detta gör det möjligt för en angripare att injicera JavaScript i kommentarer och hacka din webbplats. WordPress-teamet svarade snabbt och fixade sÀkerhetsproblemet i WordPress 4.2.1, och vi rekommenderar starkt att du uppdaterar dina webbplatser omedelbart.

Jouko Pynnönen, sÀkerhetsforskare pÄ Klikki Oy, som rapporterade frÄgan beskrev det som:

Om den utlöses av en inloggad administratör kan angriparen under standardinstÀllningar utnyttja sÄrbarheten för att utföra godtycklig kod pÄ servern via plugin- och temaditorerna.

Alternativt kan angriparen Àndra administratörens lösenord, skapa nya administratörskonton eller göra vad som helst den för nÀrvarande inloggade administratören kan göra pÄ mÄlsystemet.

Denna speciella sÄrbarhet liknar den som rapporterats av Cedric Van Bockhaven som lappades i WordPress 4.1.2 sÀkerhetsrelease.

TyvÀrr anvÀnde de inte korrekt sÀkerhetsinformation och lade istÀllet upp utnyttjandet offentligt pÄ sin webbplats. Detta innebÀr att de som inte uppgraderar sin webbplats kommer att löpa allvarliga risker.

Uppdatering: Vi har lÀrt oss att de försökte kontakta WordPress sÀkerhetsgrupp men misslyckades med att fÄ ett snabbt svar.

Om du inte har inaktiverat automatiska uppdateringar uppdateras din webbplats automatiskt.

Återigen rekommenderar vi att du uppdaterar din webbplats till WordPress 4.2.1. Se till att sĂ€kerhetskopiera din webbplats innan du uppdaterar.