WordPress 4.2.1 - La versione di sicurezza corregge la vulnerabilità Zero Day XSS - Aggiorna ora
Appena 3 giorni dopo il rilascio di WordPress 4.2, un ricercatore di sicurezza ha scoperto una vulnerabilità XSS Zero Day che riguarda WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 e 3.9.3. Ciò consente a un utente malintenzionato di inserire JavaScript nei commenti e hackerare il tuo sito. Il team di WordPress ha risposto rapidamente e ha risolto il problema di sicurezza in WordPress 4.2.1, e ti consigliamo vivamente di aggiornare immediatamente i tuoi siti.
Jouko Pynnönen, ricercatore di sicurezza presso Klikki Oy, che ha segnalato il problema descrivendolo come:
Se attivato da un amministratore connesso, nelle impostazioni predefinite l'utente malintenzionato può sfruttare la vulnerabilità per eseguire codice arbitrario sul server tramite il plugin e gli editor di temi.
In alternativa, l'utente malintenzionato può modificare la password dell'amministratore, creare nuovi account amministratore o eseguire qualsiasi altra operazione che l'amministratore attualmente connesso può eseguire sul sistema di destinazione.
Questa particolare vulnerabilità è simile a quella riportata da Cedric Van Bockhaven che è stata corretta nella versione di sicurezza di WordPress 4.1.2.
Sfortunatamente, non hanno usato le opportune informazioni sulla sicurezza e hanno pubblicato l'exploit pubblicamente sul loro sito. Ciò significa che coloro che non aggiornano il loro sito si troveranno in gravi rischi.
Aggiornare: Abbiamo appreso che hanno provato a contattare il team di sicurezza di WordPress ma non sono riusciti a ottenere una risposta tempestiva.
Se non hai disattivato gli aggiornamenti automatici, il tuo sito si aggiornerà automaticamente.
Ancora una volta, ti consigliamo vivamente di aggiornare il tuo sito a WordPress 4.2.1. Assicurati di eseguire il backup del tuo sito prima di aggiornare.