В WordPress исправлена опасная уязвимость

На этой неделе  состоялся  релиз WordPress 4.2, получившей название Powell. Кроме того, был выпущен WordPress 4.2.1, исправляющий опасную  уязвимость , позволявшую внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.

Как  сообщил  исследователь безопасности cedric, проэксплуатировать брешь можно с помощью манипуляций с 4-байтовыми символами Unicode. Атака возможна из-за того, что MySQL поддерживает только 3-байтовые символы и при появлении 4-байтового по умолчанию отрезает конец строки. Используя это, злоумышленник может обойти код чистки html-тегов в WordPress. По словам эксперта уязвимость затрагивает версии WordPress 4.1.1 и более ранние версии.

Напомним , что на этой неделе эксперты из Sucuri сообщили о том, что по меньшей мере 17 популярных плагинов для WordPress содержат XSS-уязвимость.