Hlavní navigace

WordPress 4.2.2 opravuje dvě XSS zranitelnosti

Michal Strnad

Vyšla nová aktualizace pro redakční systém WordPress, tentokrát s označením 4.2.2. Jedná se o bezpečnostní aktualizaci a je důrazně doporučeno ji okamžitě aplikovat. Aktualizace opravuje dvě závažné bezpečnostní chyby:

  • Oblíbený font Genericons od firmy Automattic, která provozuje WordPress.com, je použit ve spoustě populárních šablon (Twenty Fifteen, Twenty Fourteen, Twenty Thirteen) a pluginech. Součástí každé instalace tohoto speciálního fontu byl však i soubor example.html, kde jsou uvedeny ukázky implementace. V podstatě ale šlo hlavně o testovací soubor pro vývojáře, který nebyl z bezpečnostního hlediska dostatečně ošetřen a v příslušném instalačním balíčku ho pozapomněli. Tento HTML soubor je zranitelný při útoku pomocí cross-site scripting (XSS). Všechny pluginy a šablony umístěné na WordPress.org byly aktualizovány a nepotřebný soubor example.html byl z balíčku odstraněn. Nová verze WordPress 4.2.2 navíc prohledává složku wp-content a hledá tento soubor, který v případě nálezu smaže.
  • Druhá chyba se též týká XSS a trpí jí všechny verze WordPressu verze 4.2 a starší.

(Zdroj: WordPress.com)

Našli jste v článku chybu?