Wordpressの脆弱性

WordpressはWordPress 4.2.1のアップデートを公開しました。

これは重要なアップデートであり、人気のあるCMS Worpressのすべてのユーザーがアップグレードすることをお勧めします。

数時間前、チームは、サイトにブログエントリにコメントする機能がある場合、攻撃者によって悪用される可能性のあるXSS脆弱性に関する情報を受け取りました。

脆弱性はJoukoPynnönenによって発見されました。



この脆弱性は、コメントがMySQL TEXT 64Kの標準を超える場合、データベースに追加されたときに切り捨てられるという事実によるものです。

攻撃者は、サイズが64KBのコメントを残すことができます。これは、チェックなしでデータベースにヒットし、ブログリーダーがアクセスできる可能性があります。 したがって、攻撃者がこのようなコメントにJavaScriptコードを埋め込むと、ユーザーのブラウザで実行されます。 特に、サイト管理者がコメントを表示した場合、攻撃者はパスワードを変更し、新しいアカウントを作成し、管理者としてファイルをアップロードできます。



脆弱性のビデオデモ：





アップグレードすることをお勧めします。