Эксплуатация XSS-бреши позволяет злоумышленниками получить контроль над web-сайтами.
Вчера, 23 июля, команда разработчиков блог-платформы WordPress выпустила корректирующее обновление WordPress 4.2.3, в котором исправлена уязвимость межсайтового скриптинга, эксплуатация которой позволяет злоумышленникам получить контроль на web-порталами.
По словам одного из разработчиков Гэри Пендергаста, эксплуатация данной бреши позволяет атакующим с уровнем пользователя Участник (Contributor) или Автор (Author) скомпрометировать интернет-ресурс.
Межсайтовый скриптинг - это один из самых распространенных видов хакерской атаки на прикладном уровне. Целью XSS является внедрение в страницу скриптов, которые обычно выполняются на стороне клиента (в браузере пользователя), а не на сервере. XSS-уязвимость позволяет злоумышленникам внедрить вредоносный код HTML, JavaScript, Flash и др. и обойти защиту wp_kses, обманом вынуждая жертву загрузить и исполнить вредоносный скрипт. Это, в свою очередь, позволяет атакующему получить доступ к важным данным пользователя, включая cookie-файлы.
Помимо прочего, обновление WordPress 4.2.3 включает исправления для ряда не критических брешей, одна из которых позволяет пользователю с ролью Подписчик (Subscriber) публиковать черновики, используя функцию Quick Draft.
Одно найти легче, чем другое. Спойлер: это не темная материя