Wordpress-lek vraagt onmiddellijke actie

In het slimste opzetje zorgt de hacker ervoor dat de beheerder of moderator zijn commentaar gaat inspecteren, bijvoorbeeld door er wat links naar andere sites in te zetten. Bij de beoordeling door de beheerder of moderator of dat commentaar door de beugel kan, krijgt de hacker via zijn JavaScript meteen dezelfde rechten als de nalezer. In de regel volstaat dat om de site onder controle te brengen door een tweede beheerdersaccount.

Nog drie problemen in WordPress verholpen

Deze kwetsbaarheid schuilt alleen in de WordPress-versies 3.9.2 en ouder. Van WordPress 4 is echter ook een update uitgebracht, in verband met drie andere cross-site scripting (XSS) problemen die ook in de oudere versies schuilen. Los daarvan hebben de ontwikkelaars van WP-Statistics, een WordPress-plug-in waarmee het bezoekersgedrag geanalyseerd kan worden, ook een update uitgebracht. Ook in dit geval gaat het om een kwetsbaarheid via cross-site scripting.

De updates zijn te vinden op de website WordPress.org. De geüpdate versie 8.3.1 van WP-Statistics is te vinden in de Plugin Directory van de WordPress-site. Meer informatie is te vinden op de website van Klikki Oy; Jouk Pynnonen van dat bedrijf vond het lek.