Система управления контентом WordPress за неделю закрывает вторую критическую уязвимость, и администраторам рекомендовано обновиться до версии 4.2.1. Веб-сайты с плагином Background Update Tester установят обновление автоматически.
Любая уязвимость WordPress опасна за счёт популярности данной платформы. По собственной статистике, WordPress лежит в основе 23% веб-сайтов глобальной сети. Уязвимость нашёл сотрудник финской компании Klikki Oy и относится она к межсайтовому скриптингу при внедрении в комментарии вредоносного кода на JavaScript. Скрипт активируется при просмотре комментариев пользователями.
Если администратор сайта находится в системе при просмотре вредоносного комментария, злоумышленник может выполнить произвольный код на сервере через плагин и редакторы тем. Далее можно поменять пароль администратора, создать новые аккаунты администраторов и редактировать содержимое сайта. Эта же финская компания нашла другую уязвимость в ноябре прошлого года.
21 апреля была закрыта похожая уязвимость WordPress. Тогда межсайтовый скриптинг был возможен через комментарии, задействуя базу данных MySQL. Исследователь Седрик Ван Бокхавен написал код для добавления нового пользователя в список администраторов. Также уязвимость позволяла скачать плагин, который запускал на сервере вредоносный код.