В новой версии WordPress 4.2.3 исправлена XSS-уязвимость и ряд других брешей

image

Теги: межсайтовый скриптинг, уязвимость, обновление, WordPress

Эксплуатация XSS-бреши позволяет злоумышленниками получить контроль над web-сайтами.

Вчера, 23 июля, команда разработчиков блог-платформы WordPress выпустила корректирующее обновление WordPress 4.2.3, в котором исправлена уязвимость межсайтового скриптинга, эксплуатация которой позволяет злоумышленникам получить контроль на web-порталами.

По словам одного из разработчиков Гэри Пендергаста, эксплуатация данной бреши позволяет атакующим с уровнем пользователя Участник (Contributor) или Автор (Author) скомпрометировать интернет-ресурс.

Межсайтовый скриптинг - это один из самых распространенных видов хакерской атаки на прикладном уровне. Целью XSS является внедрение в страницу скриптов, которые обычно выполняются на стороне клиента (в браузере пользователя), а не на сервере. XSS-уязвимость позволяет злоумышленникам внедрить вредоносный код HTML, JavaScript, Flash и др. и обойти защиту wp_kses, обманом вынуждая жертву загрузить и исполнить вредоносный скрипт. Это, в свою очередь, позволяет атакующему получить доступ к важным данным пользователя, включая cookie-файлы.

Помимо прочего, обновление WordPress 4.2.3 включает исправления для ряда не критических брешей, одна из которых позволяет пользователю с ролью Подписчик (Subscriber) публиковать черновики, используя функцию Quick Draft.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.