CYBER NEWS

WordPress Grave Zero-Day Proprio Fixed bug nelle versioni 4.7 e 4.7.1

WordPress recente patch tre principali vulnerabilità di sicurezza nel suo ultimo aggiornamento. I difetti potrebbero consentire il cross-site scripting e SQL iniezioni, e una serie di altre questioni successive. Le correzioni versioni di WordPress colpite 4.7.1 e precedenti. applicando la aggiornare appena possibile è ancora altamente raccomandato.

Tuttavia, è ormai noto che, a parte i problemi di sicurezza appena citato la piattaforma fissa una vulnerabilità pericolosa e quindi secret zero-day che potrebbe portare ad accesso remoto e la cancellazione delle pagine di WordPress. Il motivo per cui non ha annunciato pubblicamente il giorno zero è che essi non volevano attirare gli hacker in sfruttarla. Così hanno detto.

Zero-day in WordPress 4.7 e 4.7.1 spiegato: Non autenticato vulnerabilità Privilege Escalation in un REST API Endpoint

Il bug ha permesso tutte le pagine di siti web vulnerabili da modificare. Anche, i visitatori avrebbero potuto essere reindirizzati a siti dannosi che portano a ulteriori complicazioni relative alla sicurezza. WordPress ha rinviato l'annuncio pubblico per una settimana e sta ora sollecitando tutti i soggetti coinvolti per aggiornare.

Correlata: TeslaCrypt Attualmente diffondersi attraverso compromessa WordPress pagine e EK nucleare

In un posto supplementare, WordPress ha scritto:

Oltre ai tre vulnerabilità di sicurezza citati nel post versione originale, WordPress 4.7 e 4.7.1 aveva una vulnerabilità aggiuntiva per la quale è stato ritardato disclosure. C'era una vulnerabilità Privilege Escalation non autenticato in un REST API Endpoint. Le versioni precedenti di WordPress, anche con il plugin API REST, non sono mai stati vulnerabili a questo.

Lo zero-day è stato segnalato il 20 gennaio dalla società di sicurezza Sucuri, più in particolare, il ricercatore Marc-Alexandre Montpas. Per fortuna, non aggressori hanno sfruttato il bug, e una correzione è stata preparata poco dopo è stato segnalato. Ciò nonostante, WordPress ha avuto il tempo di testare ulteriormente la questione, come si sentiva che era abbastanza grave.

D'altronde, Sucuri aggiunto nuove regole per il loro Web Application Firewall in modo che sfruttano i tentativi sono stati bloccati. Altre aziende sono state contattate, troppo, per creare regole simili a schermare gli utenti dagli attacchi prima che l'aggiornamento è stato finalizzato.

succhi di frutta ha scritto:

Di lunedi, mentre abbiamo continuato a testare e perfezionare la correzione, la nostra attenzione si è spostata a host WordPress. Abbiamo contattato privatamente con le informazioni sulla vulnerabilità e modi per proteggere gli utenti. Host hanno lavorato a stretto contatto con il team di sicurezza di implementare protezioni e regolarmente controllati per exploit attentati contro i loro utenti.

Correlata: Netgear router vulnerabili agli attacchi di accesso remoto

Infine, L'aggiornamento era pronto Giovedi scorso. E 'anche importante notare che gli utenti di WordPress 4.7.x sono stati rapidamente protetti attraverso il sistema di aggiornamento automatico. Tuttavia, gli utenti che non aggiornano WordPress hanno automaticamente di farlo se stessi prima che sia troppo tardi.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Rimanete sintonizzati
Iscriviti alla nostra newsletter per quanto riguarda le ultime sicurezza informatica e notizie di tecnologia legate.