Uma nova versão do WordPress lançada nesta quinta-feira, 7/5, corrige duas vulnerabilidades críticas XSS (cross-site scripting) que poderiam permitir que invasores comprometessem os sites da plataforma.
Uma das falhas está localizada no pacote de fonte de ícones Genericons que é usado por vários plug-ins e temas populares, incluindo o tema padrão do WordPress chamado TwentyFifteen.
Pesquisadores da empresa de segurança Sucuri alertaram nesta quarta-feira, 6/5, que já tinham registrado ataques contra a vulnerabilidade XSS.
Para explorá-la, os criminosos precisam enganar os usuários para clicar em links criados especialmente. Mas uma vez que fizerem isso, é possível alavancar a falha para roubar cookies de autenticação. Se a vítima for administradora de um site, os criminosos podem assumir o controle dessa página.
A vulnerabilidade pode ser aliviada ao remover o arquivo example.html que é parte do pacote Genericons ou ao fazer o upgrade para o recém-lançado WordPress 4.2.2.
“Todos os temas e plug-ins afetados hospedados no WordPress.org (incluindo o tema padrão Twenty Fifteen) foram atualizados hoje pela equipe de segurança do WordPress para resolver o problema ao remover o arquivo não-essencial”, afirmaram os desenvolvedores do WordPress no anúncio sobre o lançamento.
Uma vez instalado, o WordPress 4.2.2 escaneia o diretório do site atrás do arquivo HTML vulnerável e remove todas as instâncias dele.
Além disso, a nova versão soluciona uma segunda falha crítica XSS, que segundo os desenvolvedores do WordPress, permitiriam que usuários anônimos comprometessem um site.
Fonte: IDG Now!
Artigo de Referência: Sucuri
0 comentários:
Postar um comentário