Net als vorige week kampt WordPress met een ernstig cross site scripting-lek, waarmee een aanvaller de controle over een WordPress-installatie kan overnemen. Er is exploitcode verschenen die kan worden misbruikt. WordPress heeft in allerijl een beveiligingsupdate uitgebracht.
In feite gaat het om twee beveiligingsproblemen, maar slechts een van de twee treft WordPress 4.2, de nieuwste versie van de populaire cms-tool; de andere werkt alleen op oudere versies. De bugs bevinden zich in de commentsectie van WordPress; een aanvaller kan zijn eigen html-code achterlaten in een reactie, waarna die wordt geladen als andere gebruikers op de pagina komen. Dat ontdekte een Finse beveiligingsonderzoeker.
Op die manier kan een aanvaller bijvoorbeeld code injecteren die cookies van gebruikers steelt. Ook kan code worden toegevoegd die, wanneer de reactie wordt bekeken door een gebruiker die de beheerder van de WordPres-installatie is, bijvoorbeeld het wachtwoord van de beheerder wijzigt. Vervolgens zou een aanvaller de WordPress-installatie over kunnen nemen.
De Finse beveiligingsonderzoeker die het probleem ontdekte heeft een proof of concept gepubliceerd, die door kwaadwillenden zou kunnen worden misbruikt. Ook zijn er volgens hem aanwijzingen dat de bug al wordt misbruikt. WordPress heeft daarom maandag in allerijl een beveiligingsupdate uitgebracht.
Vorige week bracht WordPress al een update uit om een ander xss-lek te patchen. Met WordPress 4.2 werden ook drie kleinere beveiligingsproblemen opgelost.
Tweakers.net