Matti Robinson
21. marraskuuta, 2014 8:55
Viestintäviraston kyberturvallisuuskeskus kertoo haavoittuvuudesta, joka on löydetty suositusta WordPress-sisällönhallintajärjestelmästä. Haavoittuvuus koskee kaikkia WordPress 3 -versioita ja mahdollistaa hyökkääjän muokata ja poistaa sisältöä.
Suomalaisen haavoittuvuustutkijan löytämä haavoittuvuus kohdistuu kommenttiosioon, joka on oletuksena päällä alussa. Sen kautta hyökkääjä pystyy suorittamaan komentoja ylläpitäjän oikeuksin ja esimerkiksi vaihtaa ylläpitäjän salasanan.
Käytännössä haavoittuvuutta käytetään hyväksi kommenttiosioon syötetyllä JavaScript-koodilla, jonka ylläpitäjä lukee. Tämä on hyvin tavallista esimerkiksi moderoinnin takia. Ongelma piilee tiedostossa wp-includes/formatting.php.
Kyberturvallisuuskeskus suosittelee ohjelmiston käyttäjiä päivittämään heti korjattuun nelosversioon, joka on julkaistu syyskuussa.