Το WordPress επιδιόρθωσε συνολικά 10 σφάλματα ασφαλείας στην έκδοση 5.5.2, η οποία κυκλοφόρησε πρόσφατα.
Ένα από αυτά είναι σφάλμα ιδιαίτερα μεγάλης σοβαρότητας, το οποίο θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο μη πιστοποιημένο εισβολέα να καταλάβει έναν ιστότοπο μέσω μιας DDoS attack.
Ο ερευνητής που βρήκε το σφάλμα, Omar Ganiev, ιδρυτής της DeteAct, δήλωσε ότι ο αντίκτυπος της ευπάθειας μπορεί να είναι μεγάλος, αλλά η πιθανότητα να χρησιμοποιηθεί σε πραγματικά περιβάλλοντα είναι αρκετά μικρή καθώς ο επιτιθέμενος πρέπει να είστε σε θέση να διεξάγει μια μεγάλου μεγέθους DoS επίθεση. Ως εκ τούτου ούτε το WordPress ούτε ο Ganiev πιστεύουν ότι η ευπάθεια έχει ποτέ αξιοποιηθεί.
Τέσσερα από τα υπόλοιπα σφάλματα, που χαρακτηρίστηκαν ως ‘μεσαίου κινδύνου’ από το WordPress, διορθώθηκαν επίσης. Όλες οι ευπάθειες αφορούσαν τις εκδόσεις WordPress 5.5.1 και πριν.
Από τα σφάλματα αυτά, το δυνητικά το επικίνδυνο μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να κλέψει ευαίσθητες πληροφορίες, να αλλάξει την εμφάνιση της ιστοσελίδας και να εκτελέσει επιθέσεις ηλεκτρονικού ψαρέματος (phishing). Λόγω λανθασμένου sanitization του input των χρηστών, ένας απομακρυσμένος εισβολέας “μπορεί να εξαπατήσει το θύμα ώστε να ακολουθήσει έναν ειδικά κατασκευασμένο σύνδεσμο και να εκτελέσει arbitrary κώδικα HTML στο πρόγραμμα περιήγησης”.
Με πληροφορίες από threatpost.com
