-Η ενημερωμένη έκδοση του WordPress επιδιορθώνει συνολικά 29 ζητήματα ευπαθειών
– Oι χρήστες της πλατφόρμας καλούνται να προχωρήσουν άμεσα σε αναβάθμιση.
Η ομάδα ασφάλειας της WordPress κυκλοφόρησε μια επείγουσα ενημέρωση ασφάλειας, με σκοπό τον καθορισμό τριών κρίσιμων ζητημάτων, και ακριβέστερα δύο XSS (cross-site scripting) ευπαθειών και ενός δυνητικού σφάλματος κλιμάκωσης προνομίων.
Σύμφωνα με το επίσημο changelog της εταιρείας, το πρώτο σφάλμα XSS εντοπίστηκε από τον ερευνητή και μέλος της ομάδας ασφάλειας της WordPress, Ben Bidner, και μπορεί να αξιοποιηθεί μέσω των WP List Tables. Πρόσθετες λεπτομέρειες δεν δόθηκαν στη δημοσιότητα για λόγους ασφάλειας των χρηστών.
Oι άλλες δύο ευπάθειες αποκαλύφθηκαν από τους ερευνητές της Check Point, Shahar Tal και Netanel Rubin, οι οποίοι παρουσίασαν αναλυτικά τα ευρήματά τους σε ένα εκτεταμένο blog post: http://blog.checkpoint.com/vulnerabilities
Μια κρίσιμη ευπάθεια XSS επηρεάζει τον επεξεργαστή shortcode του WordPress
Το πρώτο θέμα ευπάθειας που αποκαλύφθηκε από την ομάδα της Check Point (CVE-2015-5714), επηρεάζει την έκδοση 4.3 του WordPress καθώς και όλες τις προγενέστερες εκδόσεις, και έγκειται στον τρόπο με το οποίο γίνεται η επεξεργασία των shortcodes (μικρά τμήματα κειμένου τα οποία διαβάζονται και ερμηνεύονται από το CMS, σύμφωνα με προκαθορισμένους κανόνες).
Ένα bug κλιμάκωσης προνομίων επιτρέπει σε μη εξουσιοδοτημένους χρήστες να δημοσιεύουν blog posts
Το δεύτερο ζήτημα ευπάθειας που εντοπίστηκε από τους ερευνητές (CVE-2015-5715) πρόκειται για ένα σημαντικό ελάττωμα κλιμάκωσης προνομίων, εκμεταλλεύσιμο μέσω απλών κακόβουλων αιτήσεων HTTP, το οποίο υπό ορισμένες συνθήκες επιτρέπει σε χρήστες με πολύ χαμηλά δικαιώματα (subscribers) να δημοσιεύουν ιδιωτικά blog posts. Εκτός από τις προαναφερόμενες ευπάθειες που καθορίστηκαν σε αυτή την έκδοση, η ομάδα της WordPress προχώρησε σε 26 επιπρόσθετες διορθώσεις σφαλμάτων.
Όλοι οι χρήστες της πλατφόρμας συνίσταται να αναβαθμίσουν στην τελευταία έκδοση το συντομότερο δυνατόν.