Hlavní navigace

Bezpečnostní chyba umožňuje ukrást přihlášení k Wordpressu

28. 5. 2014

Sdílet

Yan Zhu z EFF objevila vážnou bezpečnostní chybu v blogovacím systému Wordpress. Kvůli nešifrovanému přenosu cookies je možné na nezabezpečené síti ukrást session administrátora. Poté sice není možné změnit přímo heslo, ale je možné změnit e-mailovou adresu, pomocí které je pak možné provést reset hesla. Nepříjemné je, že takto lze obejít i dvoufaktorovou autorizaci.

Problém navíc přetrvává i ve chvíli, kdy se původní uživatel odhlásí. Cookie totiž zůstane platná po další tři roky a je možné ji takto kdykoliv znovu použít. V příští verzi Wordpressu bude problém opraven a po odhlášení bude cookie automaticky zneplatněna.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.