WordPress opnieuw vatbaar voor XSS

geplaatst in: Security, WordPress | 0

Update 28 april 2015: Inmiddels heeft WordPress versies 4.1.4 en 4.2.1 vrijgegeven waarin de onderstaande kwetsbaarheid verholpen is. Het advies is om zo snel mogelijk uw WordPress site bij te werken naar de laatste versie.

Versie 4.1.2, de huidige versie van WordPress, blijkt opnieuw vatbaar voor Cross Site Scripting (XSS). Een aanvaller kan de kwetsbaarheid misbruiken door een reactie te plaatsen op een pagina of een bericht. Tot dusver is er nog geen update die het probleem verhelpt, maar het (tijdelijk) uitschakelen van reacties op uw WordPress site zorgt ervoor dat u niet kwetsbaar bent.

Het lek kan door een aanvaller misbruikt worden om code uit te voeren op de webserver. Dit gebeurt zodra een beheerdersaccount de door de aanvaller geplaatste reactie bekijkt. Een aanvaller moet echter wel een ‘vertrouwde reageerder’ zijn om de aanval te laten kunnen plaatsvinden. De technische details van deze kwetsbaarheid kunt u nalezen op het blog van Klikki Oy.