WordPress recente patch tre principali vulnerabilità di sicurezza nel suo ultimo aggiornamento. I difetti potrebbero consentire il cross-site scripting e SQL iniezioni, e una serie di altre questioni successive. Le correzioni versioni di WordPress colpite 4.7.1 e precedenti. applicando la aggiornare appena possibile è ancora altamente raccomandato.
Tuttavia, è ormai noto che, a parte i problemi di sicurezza appena citato la piattaforma fissa una vulnerabilità pericolosa e quindi secret zero-day che potrebbe portare ad accesso remoto e la cancellazione delle pagine di WordPress. Il motivo per cui non ha annunciato pubblicamente il giorno zero è che essi non volevano attirare gli hacker in sfruttarla. Così hanno detto.
Zero-day in WordPress 4.7 e 4.7.1 spiegato: Non autenticato vulnerabilità Privilege Escalation in un REST API Endpoint
Il bug ha permesso tutte le pagine di siti web vulnerabili da modificare. Anche, i visitatori avrebbero potuto essere reindirizzati a siti dannosi che portano a ulteriori complicazioni relative alla sicurezza. WordPress ha rinviato l'annuncio pubblico per una settimana e sta ora sollecitando tutti i soggetti coinvolti per aggiornare.
Correlata: TeslaCrypt Attualmente diffondersi attraverso compromessa WordPress pagine e EK nucleare
In un posto supplementare, WordPress ha scritto:
Oltre ai tre vulnerabilità di sicurezza citati nel post versione originale, WordPress 4.7 e 4.7.1 aveva una vulnerabilità aggiuntiva per la quale è stato ritardato disclosure. C'era una vulnerabilità Privilege Escalation non autenticato in un REST API Endpoint. Le versioni precedenti di WordPress, anche con il plugin API REST, non sono mai stati vulnerabili a questo.
Lo zero-day è stato segnalato il 20 gennaio dalla società di sicurezza Sucuri, più in particolare, il ricercatore Marc-Alexandre Montpas. Per fortuna, non aggressori hanno sfruttato il bug, e una correzione è stata preparata poco dopo è stato segnalato. Ciò nonostante, WordPress ha avuto il tempo di testare ulteriormente la questione, come si sentiva che era abbastanza grave.
D'altronde, Sucuri aggiunto nuove regole per il loro Web Application Firewall in modo che sfruttano i tentativi sono stati bloccati. Altre aziende sono state contattate, troppo, per creare regole simili a schermare gli utenti dagli attacchi prima che l'aggiornamento è stato finalizzato.
succhi di frutta ha scritto:
Di lunedi, mentre abbiamo continuato a testare e perfezionare la correzione, la nostra attenzione si è spostata a host WordPress. Abbiamo contattato privatamente con le informazioni sulla vulnerabilità e modi per proteggere gli utenti. Host hanno lavorato a stretto contatto con il team di sicurezza di implementare protezioni e regolarmente controllati per exploit attentati contro i loro utenti.
Correlata: Netgear router vulnerabili agli attacchi di accesso remoto
Infine, L'aggiornamento era pronto Giovedi scorso. E 'anche importante notare che gli utenti di WordPress 4.7.x sono stati rapidamente protetti attraverso il sistema di aggiornamento automatico. Tuttavia, gli utenti che non aggiornano WordPress hanno automaticamente di farlo se stessi prima che sia troppo tardi.