Разработчики WordPress призывают пользователей загрузить и применить новейшее обновление, устраняющее баг межсайтового скриптинга в системе управления контентом. Данная брешь присутствует во всех версиях CMS ниже 4.4, ее эксплойт позволяет установить контроль над веб-сайтом.

Уязвимость обнаружил независимый исследователь с Филиппин, использующий псевдоним Crtc4L; его результат был удостоен награды, которая была выплачена через HackerOne.

Как пишет в блоге WordPress Аарон Джорбин (Aaron Jorbin), данный баг открывает возможность для удаленной компрометации. Степень его опасности при этом не указана, подробности пока тоже не оглашены; молчит и сам обнаруживший уязвимость исследователь.

Версия 4.4.1 WordPress в целом закрывает 52 бреши. Джорбин не преминул отметить, что некоторые сайты, использующие устаревшие версии OpenSSL, не смогли воспользоваться другими сервисами, доступными через плагины.

Обновление можно загрузить напрямую с сайта WordPress. При отсутствии на сайте поддержки автоматического обновления можно также произвести апдейт, используя соответствующую функцию в консоли.

Категории: Уязвимости