O noua vulnerabilitate WordPress a fost descoperita recent, care permitea hackerilor sa poata prelua controlul website-ului sau al blogului printr-un singur comentariu de dimensiune mai mare. Aceasta a fost descoperita de catre un angajat al unei companii finlandeze de securitate.
Vulnerabilitatea este activa si pe cea mai recenta versiune. Din totalul site-urilor online la nivel mondal, o cincime dintre ele sunt construite pe platforma WordPress. Din acest motiv, numarul site-urilor vulnerabile este urias.
Cum functioneaza
Concret, vulnerabilitatea se manifesta in felul urmator: un hacker poate lasa un comentariu mai lung unui post, in continutul caruia sa contina un cod Java si sa aiba o lungime de peste 65.000 de caractere, adica peste 64KB. Pentru a putea prelua activitatea unui website prin aceasta metoda, sistemul de comentarii trebuie sa fie cel standard WordPress. In momentul in care administratorul accepta comentariul, codul trucat, numit “cross-site scripting” initiaza demersurile si ofera posibilitatea de a prelua site-ul si de a schimba parola de acces.
Singurele site-uri WordPress care nu sunt vulnerabile sunt cele care au instalat pluginul Aksimet. S-a gasit insa o solutie rapida, astfel ca WordPress a emis ieri o noua versiune a platformei, care elimina aceasta vulnerabilitate.
http://bit.ly/1PWnjE2
Vulnerabilitatea este activa si pe cea mai recenta versiune. Din totalul site-urilor online la nivel mondal, o cincime dintre ele sunt construite pe platforma WordPress. Din acest motiv, numarul site-urilor vulnerabile este urias.
Cum functioneaza
Concret, vulnerabilitatea se manifesta in felul urmator: un hacker poate lasa un comentariu mai lung unui post, in continutul caruia sa contina un cod Java si sa aiba o lungime de peste 65.000 de caractere, adica peste 64KB. Pentru a putea prelua activitatea unui website prin aceasta metoda, sistemul de comentarii trebuie sa fie cel standard WordPress. In momentul in care administratorul accepta comentariul, codul trucat, numit “cross-site scripting” initiaza demersurile si ofera posibilitatea de a prelua site-ul si de a schimba parola de acces.
Singurele site-uri WordPress care nu sunt vulnerabile sunt cele care au instalat pluginul Aksimet. S-a gasit insa o solutie rapida, astfel ca WordPress a emis ieri o noua versiune a platformei, care elimina aceasta vulnerabilitate.
http://bit.ly/1PWnjE2