WordPress 4.2.1 - Säkerhetslansering åtgärdar säkerhetsproblemet för noll dag XSS - Uppdatera nu
Bara 3 dagar efter utgivandet av WordPress 4,2 hittade en säkerhetsforskare en Säkerhetsproblem för Zero Day XSS som påverkar WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 och 3.9.3. Detta gör att en angripare kan injicera JavaScript i kommentarer och hacka din webbplats. WordPress-teamet svarade snabbt och fixade säkerhetsproblemet i WordPress 4.2.1, och vi rekommenderar starkt att du uppdaterar dina webbplatser omedelbart.
Jouko Pynnönen, en säkerhetsforskare hos Klikki Oy, som rapporterade problemet beskrev det som:
Om det utlöses av en inloggad administratör kan angriparen under standardinställningar utnyttja sårbarheten för att utföra godtycklig kod på servern via plugin och temredigerare.
Alternativt kan angriparen ändra administratörens lösenord, skapa nya administratörskonton eller göra det som den nuinloggade administratören kan göra på målsystemet.
Denna speciella sårbarhet liknar den som rapporterats av Cedric Van Bockhaven som patchades i WordPress 4.1.2 säkerhetsutgåvan.
Tyvärr använde de inte korrekt säkerhetsinformation och placerade istället exploitivet offentligt på deras webbplats. Det betyder att de som inte uppgraderar sin webbplats kommer att vara i allvarliga risker.
Uppdatering: Vi har lärt oss att de försökte kontakta WordPress säkerhetslag men misslyckades med att få ett svar i tid.
Om du inte har avaktiverat automatiska uppdateringar uppdateras din webbplats automatiskt.
Återigen rekommenderar vi starkt att du uppdaterar din webbplats till WordPress 4.2.1. Se till att säkerhetskopiera din webbplats innan du uppdaterar.