W dniu dzisiejszym WordPress wyda� patch �ataj�cy krytyczn� luk� bezpiecze�stwa XSS znalezion� w instalacji popularnego CMSa.

Luk� znalaz� fi�ski badacz Klikki Oy odkry� on, �e mo�e ona pos�u�y� do przej�cia pe�nej kontroli nad atakowan� stron� www ��cznie z zapleczem administracyjnym.

Luka wyst�puje w wersji 4.2, 4.1.2 oraz 4.1.1 z MySQL w wersji 5.1.53 oraz 5.5.41. Exploit jest umieszczany poprzez dodanie prostego kodu JavaScript oraz komentarza z 64 kilobajtami tekstu albo 65535 znakami. Je�eli komentarz jest wystarczaj�co d�ugi baza danych obetnie cz�� tekstu co w rezultacie wygeneruje nieprawid�owy kod HTML uruchamiaj�c po cichu z�o�liwy kod JavaScript.

Naparstnicy mog� w ten spos�b przechwyci� has�a u�ytkownik�w i wykona� niemal ka�d� czynno�� wymagaj�c� praw administratora.

Cho� potencjalnie zagro�one s� miliony stron internetowych to istnieje kilka czynnik�w, kt�re nieco ograniczaj� prawdopodobie�stwo ataku. Pierwszym z nich jest wy��czenie komentarzy, drugim to zatwierdzenie ich przez administratora strony. Tak d�ugie komentarze cz�sto s� zlepkiem bezsensownych s��w czy wyra�e�, przez co s� odrzucane. Jednak�e mo�na obej�� to poprzez dodanie pierwszego komentarza, kt�ry zostanie zaakceptowany a kolejne b�d� akceptowane automatycznie.

Administratorom stron na WordPressie zaleca si�, jak najszybsz� aktualizacj� skryptu w celu unikni�cia potencjalnego ataku. �atka zosta�a wydana, zaledwie tydzie� po wydaniu wersji 4.2, kt�ra usuwa�a podobn� luk� XSS.

�r�d�o: techspot.com