En fransk hacker har lige fundet et sikkerhedshul i blogsystemet WordPress, der gør at man kan skade brugere og blog. De versioner af Wordpress, der er berørte, er version 2.1.3 og tidligere, 2.0.10 og tidligere samt 2.2 (p.t. nyeste version) og tidligere. Der er tale om et XSS-hul.
WordPress er et populært blogsystem skrevet med PHP. I Wordpress kan både blogejeren (administratoren) og brugere poste kommentarer efter artikler, som administratoren har skrevet. Brugere kan ikke indsætte JavaScript i deres kommentarer, men det kan administratoren gøre både i sine indlæg og i sine kommentarer.
Problemet er, at WordPress ikke ordentligt tjekker disse data og, især hvor de kommer fra. Det er derfor nemt at få en administrator til at besøge en hjemmeside, som indeholder farlig JavaScript, der ville blive overført til WordPress.
Imens du venter på en patch, skal du undlade at surfe på hjemmesider, du ikke kender godt, når du er forbundet til din admin-konto.
onsdag den 30. maj 2007
Nyt sikkerhedsproblem for WordPress
Abonner på:
Opslag (Atom)
