WordPress krijgt patch voor kritieke XSS-fout

Ontwikkelaars van het populaire WordPress-blogplatform hebben een cruciale beveiligingsupdate uitgebracht om een ​​kwetsbaarheid op te lossen die kan worden misbruikt om websites over te nemen.

WordPress 4.2.3, donderdag uitgebracht, lost een cross-site scripting (XSS) -kwetsbaarheid op waardoor gebruikers met de rol van bijdrager of auteur een website kunnen compromitteren, zei Gary Pendergast, een lid van het WordPress-team, in een blogpost.

Hoewel dit niet zo kritiek is als een fout die zonder authenticatie kan worden misbruikt, vormt het voor veel websites nog steeds een hoog risico, omdat het compromis van één niet-beheerdersgebruikersaccount kan leiden tot een volledige overname van de website.

De nieuwe update verhelpt ook een zwakke fout waardoor gebruikers met de Abonnee toestemming hebben om concepten te maken via de Quick Draft-functie, evenals 20 andere niet-beveiligingsproblemen.

Websitebeheerders worden geadviseerd om de nieuwe versie zo snel mogelijk te installeren vanaf hun WordPress-dashboards. Websites die zijn geconfigureerd voor automatische achtergrondupdates, zijn al gepatcht.

WordPress-websites zijn een veelvoorkomend doelwit voor aanvallers, zelfs degenen die geen bijzonder waardevolle informatie in hun databases bevatten. Hackers kunnen ze voor verschillende doeleinden gebruiken bij hun kwaadaardige activiteiten, bijvoorbeeld om malware te hosten of om gedistribueerde denial-of-service (DDoS) -aanvallen te lanceren.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.