Niebezpieczny Wordpress? Luka umożliwia przejęcie kontroli nad kontem administratora
Wordpress z istotną luką bezpieczeństwa. Krytyczna podatność bezpieczeństwa zero-day została wykryta przez specjalistów z firmy Fortinet. Wordpress obecnie posiada ok. 60,4 proc. udziału w rynku systemów zarządzania treściami na stronach internetowych.
Luka wbudowana jest w edytor tekstu Gutenberg.
Podatność dotyczy systemu Wordpress w wersjach od 5.0 do 5.04 oraz 5.1 i 5.1.1 - ostrzega Fortinet.
Jej działanie opiera się na możliwości ominięcia filtra kodu JavaScript i HTML, który chroni użytkowników Wordpressa przed atakami typu krzyżowego z wykorzystaniem złośliwych skryptów (tzw. XSS, cross-site scripting - PAP).
Podatność dotyczy szczególnie użytkowników Wordpressa dysponujących uprawnieniami administratora w systemie. Według Fortinetu hakerzy mogą wykorzystać lukę do przejęcia kontroli nad takim kontem i uzyskania dostępu do wbudowanej w Wordpressa funkcji GetShell, która z kolei może pozwolić na przejęcie kontroli nad całym serwerem, w oparciu o który działa dana witryna internetowa.
Firma poinformowała twórców Wordpressa o wykryciu podatności. Do systemu została wydana stosowna łatka zabezpieczająca, którą użytkownicy zagrożonych wersji tego oprogramowania powinni pobrać celem ograniczenia możliwości użycia podatności przez hakerów.
Operacje Wojska Polskiego. Żołnierze do zadań dużej wagi
Materiał sponsorowany