Niebezpieczny Wordpress? Luka umożliwia przejęcie kontroli nad kontem administratora
Wordpress z istotną luką bezpieczeństwa. Krytyczna podatność bezpieczeństwa zero-day została wykryta przez specjalistów z firmy Fortinet. Wordpress obecnie posiada ok. 60,4 proc. udziału w rynku systemów zarządzania treściami na stronach internetowych.
Luka wbudowana jest w edytor tekstu Gutenberg.
Podatność dotyczy systemu Wordpress w wersjach od 5.0 do 5.04 oraz 5.1 i 5.1.1 - ostrzega Fortinet.
Jej działanie opiera się na możliwości ominięcia filtra kodu JavaScript i HTML, który chroni użytkowników Wordpressa przed atakami typu krzyżowego z wykorzystaniem złośliwych skryptów (tzw. XSS, cross-site scripting - PAP).
Podatność dotyczy szczególnie użytkowników Wordpressa dysponujących uprawnieniami administratora w systemie. Według Fortinetu hakerzy mogą wykorzystać lukę do przejęcia kontroli nad takim kontem i uzyskania dostępu do wbudowanej w Wordpressa funkcji GetShell, która z kolei może pozwolić na przejęcie kontroli nad całym serwerem, w oparciu o który działa dana witryna internetowa.
Firma poinformowała twórców Wordpressa o wykryciu podatności. Do systemu została wydana stosowna łatka zabezpieczająca, którą użytkownicy zagrożonych wersji tego oprogramowania powinni pobrać celem ograniczenia możliwości użycia podatności przez hakerów.
SK@NER: Jak przestępcy czyszczą nasze konta?