Hlavní navigace

Bezpečnostní chyba umožňuje ukrást přihlášení k Wordpressu

Petr Krčmář

Yan Zhu z EFF objevila vážnou bezpečnostní chybu v blogovacím systému Wordpress. Kvůli nešifrovanému přenosu cookies je možné na nezabezpečené síti ukrást session administrátora. Poté sice není možné změnit přímo heslo, ale je možné změnit e-mailovou adresu, pomocí které je pak možné provést reset hesla. Nepříjemné je, že takto lze obejít i dvoufaktorovou autorizaci.

Problém navíc přetrvává i ve chvíli, kdy se původní uživatel odhlásí. Cookie totiž zůstane platná po další tři roky a je možné ji takto kdykoliv znovu použít. V příští verzi Wordpressu bude problém opraven a po odhlášení bude cookie automaticky zneplatněna.

Našli jste v článku chybu?