Beveiliging onderzoekers gemeld de ontdekking van zes ernstige kwetsbaarheden in WordPress. de beveiligingslekken’ effect is beoordeeld als “hoog”, Dit betekent dat patches zo snel mogelijk zeer wenselijk.
Zes WordPress beveiligingslekken Vast in WordPress 5.2.4
Volgens Symantec beveiligingsadvies, kan een aanvaller de gebreken gebruiken om willekeurige script code uit te voeren in de browser van een kwetsbare weggebruiker in het kader van de getroffen site. Hierdoor kan de aanvaller om cookies gebaseerde authenticatie te stelen en te lanceren andere aanvallen, evenals de beperkingen voor het omzeilen van de beveiliging om ongeoorloofde acties uit te voeren.
Wat WordPress versies zijn kwetsbaar voor de gebreken? Versies voor WordPress 5.2.4 zijn kwetsbaar. De lijst van de betrokken technologieën inclusief alle versies tussen WordPress 3.0.1 en WordPress WordPress 5.2.3.
Het goede nieuws is dat WordPress 5.2.4 is al beschikbaar, die de zes veiligheidskwesties adressen.
Hier is een lijst van de kwetsbaarheden en de namen van de onderzoekers die ze ontdekten:
- Evan Ricafort ontdekte een probleem waarbij opgeslagen XSS (cross-site scripting) kan worden toegevoegd via de Customizer.
- J.D. Grimes gevonden en een werkwijze beschreven voor het bekijken van niet-geverifieerde berichten.
- Weston Ruter ontdekte een manier om een opgeslagen XSS maken om Javascript te injecteren in stijl labels.
- David Newman ontdekte een methode om de cache van JSON GET-aanvragen te vergiftigen via de Vary: Origin header.
- Eugene Kolodenker vond een serverzijde verzoek vervalsing van de wijze waarop URL's worden gevalideerd.
- Ben Bidner van de WordPress Security Team ontdekt kwesties in verband met verwijzer validatie in de admin.
De WordPress team heeft bedankte de onderzoekers privé openbaarmaking van de kwetsbaarheden, die de tijd om ze op te lossen gaf hen voor WordPress-sites kunnen worden aangevallen.
Opgemerkt dient te worden dat de WordPress 5.2.4 versie “een korte cyclus beveiligingsupdate“, die worden gevolgd door een grote release in versie 5.3.
WordPress-gebruikers kunnen downloaden WordPress 5.2.4 of bezoek Dashboard – Updates en klik Update nu. Sites die achtergrond automatisch updates te ondersteunen zijn al begonnen met het automatisch bijwerken, de WordPress team merkte.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: