Otkrivena je kritična XSS ranjivost u tek nedavno izdanoj inačici popularnog CMS-a WordPress 4.2. Ranjivost se nalazila u mehanizmu WordPress komentara u kojem se uneseni korisnički komentari pohranjuju u MySQL bazu, a neautenticiranom napadaču omogućuje umetanje JavaScript koda u komentare WordPressa koji se aktivira pregledom komentara. Napadač ranjivost može dodatno iskoristiti za izvršavanje proizvoljnog programskog koda na poslužitelju preko dodatka (plugin) ili editora tema ako je umetnuti JavaScript u komentaru pregledom aktivirao prijavljeni korisnik s administratorskim ovlastima te ako su aktivne inicijalne postavke CMS-a. Također bi napadač mogao promijeniti lozinku administratora, napraviti nove administratorske račune ili učiniti bilo što drugo što trenutno prijavljeni admin korisnik može na pogođenom sustavu. Svim se korisnicima savjetuje nadogradnja novom inačicom 4.2.1.
$downloadlink = get_field('download_link'); ?>Otkrivena kritična XSS ranjivost u WordPressu 4.2
Izvor: Komodo Consulting