Το WordPress κυκλοφόρησε μια ενημέρωση ασφαλείας για να διορθώσει δεκαέξι ευπάθειες, προτείνοντας την άμεση ενημέρωση των ιστοτόπων με παλαιότερες εκδόσεις.
Τα σημεία που διορθώθηκαν από το WordPress στην έκδοση 6.0.3
Υπάρχουν συνολικά δεκαέξι επιδιορθώσεις που αντιμετωπίζονται σε αυτήν την έκδοση ασφαλείας που διορθώνουν πολλαπλά είδη ευπάθειας. Αυτή είναι μια λίστα με τα τρωτά σημεία που διορθώθηκαν:- 9 ζητήματα XSS
- 2 Ευπάθειες που σχετίζονται με το ηλεκτρονικό ταχυδρομείο
- 1 Cross Site Request Forgery Vulnerability
- 1 SQL Injection
- 1 Έκθεση δεδομένων (REST API)
- 1 Redirection bug
- 1 Revert shared user instances
Έξι τρωτά σημεία XSS
Μια ευπάθεια XSS είναι αυτή στην οποία το exploit - payload μεταφορτώνεται και αποθηκεύεται στους διακομιστές ιστότοπου του θύματος. Μια ευπάθεια XSS εμφανίζεται γενικά οπουδήποτε το WordPress επιτρέπει μια είσοδο ή μια μεταφόρτωση. Αυτό το είδος ευπάθειας προκύπτει από ένα ελάττωμα στον κώδικα όπου το σημείο εισόδου δεν φιλτράρει επαρκώς ό,τι μπορεί να μεταφορτωθεί, με αποτέλεσμα τη δυνατότητα μεταφόρτωσης ενός κακόβουλου σεναρίου ή κάποιου άλλου απροσδόκητου αρχείου. Ο μη κερδοσκοπικός ιστότοπος ασφαλείας Open Web Application Security Project (OWASP) περιγράφει αυτό το είδος ευπάθειας: «Οι αποθηκευμένες επιθέσεις είναι εκείνες όπου το σενάριο που έχει εισαχθεί αποθηκεύεται μόνιμα στους διακομιστές-στόχους, όπως σε μια βάση δεδομένων, σε ένα φόρουμ μηνυμάτων, στο αρχείο καταγραφής επισκεπτών, στο πεδίο σχολίων κ.λπ. Στη συνέχεια, το θύμα ανακτά το κακόβουλο σενάριο από τον διακομιστή όταν ζητά τις αποθηκευμένες πληροφορίες."Cross Site Request Forgery
Η πλαστογράφηση αιτημάτων μεταξύ ιστότοπων (CSRF) εξαρτάται από λίγη κοινωνική μηχανική για να ξεγελάσει έναν χρήστη ιστότοπου υψηλού επιπέδου με δικαιώματα διαχειριστή για να εκτελέσει μια ενέργεια όπως να ακολουθήσει έναν σύνδεσμο. Αυτό το είδος ευπάθειας μπορεί να οδηγήσει σε ενέργειες διαχειριστή που μπορεί να θέσει σε κίνδυνο τον ιστότοπο. Μπορεί επίσης να επηρεάσει τους τακτικούς χρήστες του ιστότοπου αναγκάζοντας έναν χρήστη να αλλάξει το email σύνδεσής του ή να αποσύρει χρήματα. Δεδομένου του τρόπου με τον οποίο αυτή η ευπάθεια επηρεάζει μια ευαίσθητη λειτουργία που σχετίζεται με την ασφάλεια και την πρόσβαση, μπορεί να είναι αρκετά σοβαρή.SQL Injection
Αυτός είναι ένας τύπος ευπάθειας όπου ο εισβολέας μπορεί να εισάγει δεδομένα απευθείας στη βάση δεδομένων. Μια βάση δεδομένων είναι βασικά η καρδιά ενός ιστότοπου WordPress, όπου αποθηκεύονται οι κωδικοί πρόσβασης, οι αναρτήσεις κ.λπ. Οι επιθέσεις SQL Injection θεωρούνται πολύ σοβαρές επειδή μπορούν να οδηγήσουν σε παραβίαση του ιστότοπου.Έκδοση ασφαλείας WordPress
Η ειδοποίηση WordPress ανέφερε ότι αυτή η ενημέρωση ασφαλείας επηρεάζει όλες τις εκδόσεις από το WordPress 3.7. Πουθενά στην ανακοίνωση δεν παρείχε λεπτομέρειες σχετικά με τη σοβαρότητα οποιουδήποτε από τα τρωτά σημεία. Ωστόσο, μάλλον δεν είναι πολύ δύσκολο να πούμε ότι δεκαέξι ευπάθειες, συμπεριλαμβανομένων έξι αποθηκευμένων XSS και μίας ευπάθειας SQL Injection, προκαλούν ανησυχία. Το WordPress συνιστά την άμεση ενημέρωση των ιστοσελίδων με παλαιότερη έκδοση Wordpress. Εάν χρειάζεστε βοήθεια με την ασφάλεια του ιστοτόπου σας μην διστάσετε να επικοινωνήσετε μαζί μας.