WordPress corrigeert actief misbruikte fout

Een nieuwe WordPress-versie die donderdag is uitgebracht, verhelpt twee kritieke cross-site scripting (XSS) -kwetsbaarheden waarmee aanvallers websites kunnen compromitteren.

Een van de gebreken bevindt zich in het lettertypepakket Genericons-pictogram dat wordt gebruikt door verschillende populaire thema's en plug-ins, waaronder het standaard TwentyFifteen WordPress-thema.

Onderzoekers van webbeveiligingsbedrijf Sucuri hebben woensdag gewaarschuwd dat ze al aanvallen hebben gezien die op dit XSS-beveiligingslek zijn gericht.

Om er misbruik van te maken, moeten aanvallers gebruikers misleiden om op speciaal vervaardigde links te klikken, maar als ze dat eenmaal hebben gedaan, kunnen ze de fout gebruiken om authenticatiecookies te stelen. Als het slachtoffer de beheerder van een website is, kunnen ze de volledige controle over die website krijgen.

De kwetsbaarheid kan worden verminderd door het voorbeeld.html-bestand te verwijderen dat deel uitmaakt van het Genericons-pakket of door te upgraden naar het onlangs uitgebrachte WordPress 4.2.2.

"Alle getroffen thema's en plug-ins die op WordPress.org worden gehost (inclusief het Twenty Fifteen-standaardthema) zijn vandaag bijgewerkt door het WordPress-beveiligingsteam om dit probleem aan te pakken door dit niet-essentiële bestand te verwijderen", aldus de WordPress-ontwikkelaars in de aankondiging van de release.

Na installatie scant WordPress 4.2.2 de directory van de site op het kwetsbare HTML-bestand en verwijdert alle instanties ervan.

Bovendien repareert de nieuwe versie een tweede kritieke cross-site scripting-fout die volgens de WordPress-ontwikkelaars anonieme gebruikers een site zou kunnen laten compromitteren. Het verhardt ook de verdediging voor een mogelijk XSS-probleem in de visuele editor.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.