فقط 3 روز پس از انتشار وردپرس 4.2 ، یک محقق امنیتی یک آسیب پذیری XSS Zero day را یافت که بر وردپرس 4.2 ، 4.1.2 ، 4.1.1 ، 4.1.3 و 3.9.3 تأثیر می گذارد. این اجازه می دهد تا یک مهاجم جاوا اسکریپت را به نظرات تزریق کرده و سایت شما را هک کند. تیم وردپرس سریع پاسخ دادند و مشکل امنیتی را در وردپرس 4.2.1 برطرف کردند ، و ما اکیداً توصیه می کنیم که بلافاصله سایت های خود را به روز کنید.
Jouko Pynnönen ، یک محقق امنیتی در Klikki Oy ، که گزارش این موضوع را شرح داد:
اگر توسط یک مدیر ورود به سیستم فعال شود ، در تنظیمات پیش فرض ، مهاجم می تواند از آسیب پذیری برای اجرای کد دلخواه در سرور از طریق ویرایشگرهای افزونه و طرح زمینه استفاده کند.
در غیر اینصورت مهاجم می تواند رمزعبور مدیر را تغییر دهد ، حسابهای مدیر جدید ایجاد کند یا هر کار دیگری را که مدیر ورود به سیستم فعلی در سیستم هدف انجام می دهد انجام دهد.
این آسیب پذیری خاص همان چیزی است که توسط Cedric Van Bockhaven گزارش شده است که در نسخه امنیتی وردپرس 4.1.2 وصله شده است.
متأسفانه ، آنها از افشای امنیتی مناسب استفاده نکردند و در عوض سو explo استفاده را به صورت عمومی در سایت خود قرار دادند. این بدان معناست که افرادی که سایت خود را ارتقا ندهند در معرض خطرات جدی قرار خواهند گرفت.
بروزرسانی: ما فهمیدیم که آنها سعی کردند با تیم امنیتی وردپرس تماس بگیرند اما نتوانستند به موقع پاسخ دهند.
اگر به روزرسانی خودکار غیرفعال ، سپس سایت شما به طور خودکار به روز می شود.
یکبار دیگر ، اکیداً توصیه می کنیم سایت خود را به وردپرس 4.2.1 به روز کنید. قبل از به روزرسانی حتماً از از سایت خود پشتیبان تهیه کنید .
منبع:
https://www.wpbeginner.com/news/wordpress-4-2-1-security-release-fixes-zero-day-xss-vulnerability-update-now/.