H επιτυχής εκμετάλλευση των ευπαθειών αυτών μπορεί να οδηγήσει σε επιθέσεις Cross Site Scripting (XSS) και επιθέσεις SQL Injection – Συνίσταται άμεση αναβάθμιση στην έκδοση 4.2.4 του Wordpress.
Η νέα έκδοση της δημοφιλούς πλατφόρμας, Wοrdpress 4.2.4, έχει ήδη κυκλοφορήσει, επιδιορθώνοντας μια σειρά από σημαντικά κενά ασφάλειας.
Συνολικά, η έκδοση αυτή αντιμετωπίζει 10 σφάλματα, έξι από τα οποία σχετίζονται με το κομμάτι της ασφάλειας και μπορούν να αποδειχθούν αρκετά επικίνδυνα αν δεν αντιμετωπιστούν εγκαίρως.
Πιο συγκεκριμένα, η ενημερωμένη έκδοση διορθώνει τρεις ευπάθειες cross-site scripting και μια δυνητική ευπάθεια SQL injection, οι οποίες θα μπορούσαν να αξιοποιηθούν για την παραβίαση οποιαδήποτε ιστοσελίδας WοrdPress από τους επιτιθέμενους.
Τα προαναφερόμενα κενά ασφάλειας αναφέρθηκαν από τους:
- Marc-Alexandre Montpas (ερευνητής της εταιρείας ασφάλειας Sucuri)
- Ηelen Hou Sandi ( ερευνήτρια της ομάδας ασφάλειας του WοrdPress)
- Netanel Rubin (ερευνητής της εταιρείας Check Point) και
- Ivan Grigorov (μέλος του προγράμματος αναζήτησης bugs, HackerOne).
Επιπλέον, ο ερευνητής Mohamed A. Baste ανακάλυψε ένα ακόμη ζήτημα ασφάλειας, το οποίο επέτρεπε στους επιτιθέμενους να κλειδώνουν τα posts επ ‘αόριστον, αποτρέποντας την πραγματοποίηση μελλοντικών αλλαγών στα περιεχόμενα της επηρεαζόμενης ιστοσελίδας.
Τέλος, ο εμπειρογνώμονας ασφάλειας Johannes Schmitt της εταιρείας Scrutinizer εντόπισε μια ευπάθεια που θα μπορούσε κάτω υπό ορισμένες συνθήκες να οδηγήσει σε επιθέσεις “timing side-channel attacks”, επιτρέποντας στους εισβολείς να αναλύσουν τον χρόνο που απαιτείται από τους κρυπτογραφικούς αλγόριθμους για την εκτέλεση της λειτουργίας τους.
