Hacknutí WordPress webu vložením komentáře

O zranitelnostech WordPressu už jsme zde psali několikrát. Tentokrát jde ale o poněkud závažnější problém: zatímco ve většině předchozích případů šlo o zranitelnosti v doplňkových modulech a rozšířeních, tentokrát je problém přímo v jádře aplikace. V něm byly nalezeny dvě závažné zranitelnosti, které útočníkům umožňují získat administrátorský přístup do WordPressu, díky čemuž poté může libovolně upravovat stránky. Důležité ale je, že pro hack stačí útočníkovi stačí přidat na webu speciálně upravený komentář a počkat, až ho zobrazí některý z administrátorů.

Zranitelnosti byly nalezeny ve verzích 3.9.3, 4.1.1, 4.1.2 a také nejnovější 4.2. Naštěstí už je vydána aktualizace (4.2.1), která výše zmiňované chyby opravuje. Video s ukázkou hacku najdete na adrese https://www.youtube.com/watch?… a podrobnější informace o celé aféře pak na webu Arstechnica (http://arstechnica.com/…of-websites/)