|
WordPress补丁关键XSS漏洞评论者可以跨站点脚本.灰鸽子下载,远程控制软件
敦促用户迫切地更新他们的家Wordpress开发自动化家安装公司的发布平台来解决一个关键漏洞,可能导致攻击者接管整个网站。
安全厂商Klikki Jouko Pynnonen。fi发现了一个WordPress的跨站点脚本(XSS)缺陷,允许评论者注入Javascript站点。
当管理员用户检查评论温和他们并执行Javascript包含目标的WordPress站点的攻击者可以完全控制通过插件和主题编辑器。
文本数据类型的漏洞利用WordPress的MySQL数据库是建立在被限制为64字节大小。
评论超过64 kb将被截断,Pynnonen说,但是结果在WordPress畸形生成HTML页面。
“攻击者可以供应任何属性允许HTML标记,以同样的方式与两个最近发表影响WordPress核心存储XSS漏洞,”他写道。
4.2版本3.9.3、4.1.1 4.1.2和WordPress和MySQL 5.1.53 5.5.41已被确认为脆弱的Pynnonen建议用户运行这些关掉评论,直到他们更新他们的网站。
Automattic表示,赶走了修复,包含在版本4.2.1,准备在数小时内被意识到严重的漏洞。
相反,Pynnonen说供应商“拒绝所有通信尝试我们的2014年11月以来持续的安全漏洞情况。”
4.2.1更新也正在准备推出的自动支持,版本的网站,Automattic说,灰鸽子远程控制软件,灰鸽子远程控制。
XSS Pynnonen写道,他发现类似的另一个使用无效的性格缺陷,而超过64 kb的评论,在MySQL截断字符串。
无效的字符XSS漏洞是由研究人员发现塞德里克·Bockhaven去年2月家,报自动化家。
尽管WordPress承认这个问题在2014年3月,最初的补丁van Bockhaven今年5月,直到今年4月才解决问题。
WordPress博客平台和内容管理系统所使用的估计全球大约7500万个网站,提供每月158亿页。 |
|