Nedávno byla do světa vypuštěna nová verze 4.2 redakčního systém WordPress s označením Powell. Po čtyřech dnech tu máme další verzi (4.2.1), která tentokrát nepřináší žádné nové funkce, ale řeší kritickou zranitelnost XSS. Na tuto bezpečnostní chybu upozornil Jouko Pynnönen, který jí popsal na serveru Klikki.
Chyba umožňuje útočníkovi vložit JavaScriptový kód do komentářů WordPressu. Ke spuštění skriptu pak dojde při pouhém zobrazení komentáře. Pokud ho navíc takto spustí administrátor, útočník může na serveru vykonat libovolný kód.
Útočník se však může rozhodnout jít jinou cestou a změnit administrátorovi heslo, vytvořit nový účet administrátora, nebo provádět cokoliv, co může aktuálně přihlášený administrátor na cílovém systému.
Celý postup můžete zhlédnout na videu níže.
ČLÁNKY DO MAILU