Bezpečnostné varovanie V20170921-01V

Dôležitosť Kritická
Klasifikácia TLP WHITE

 

Identifikátor
WordPress critical vulnerabilities

 

Popis
Spoločnosť WordPress vydala aktualizáciu svojho Content Management Systému (CMS) na verziu 4.8.2, nakoľko v predošlej verzii bolo zistených niekoľko kritických zraniteľností:
1. Premenná $wpdb->prepare() môže vytvoriť neočakávané a nebezpečné dopyty vedúce k potenciálnemu SQL injection (SQLi).
2. V oEmbed bola objavená cross-site scripting zraniteľnosť (XSS).
3. Vo vizuálnom editore bola objavená cross-site scripting zraniteľnosť (XSS).
4. V rozbaľovaní súborov (unzip file) bola objavená path traversal zranietľnosť.
5. V editore pluginov bola objavená cross-site scripting zraniteľnosť (XSS).
6. V editore užívateľov a terms bol objavený open redirect.
7. V API Customizer bola objavená path traversal zraniteľnosť.
8. V časti názvov templates bola objavená cross-site scripting zraniteľnosť (XSS).
9. V modal links bola objavená cross-site scripting zraniteľnosť (XSS).

 

Dátum prvého zverejnenia varovania
19. 09. 2017

 

Zasiahnuté systémy
CMS WordPress do verzie 4.8.1

 

Následky
Neoprávnený prístup k informáciám a dátam, únik citlivých informácií

 

Odporúčania
Ak používate vyššie uvedený CMS systém, bezodkladne ho aktualizujte na najnovšiu verziu 4.8.2, v ktorej sú zraniteľnosti uvádzané v popise opravené.

 

Zdroje
https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance- release/

« Späť na zoznam