Chỉ sau 3 sau phiên bản 4.2 của WordPress, một nhà nghiên cứu lỗ hổng đã phát hiện ra lỗ hổng XSS ảnh hưởng đến các phiên bản 4.2, 4.1.2, 4.1.1, 4.1.3 và 3.9.3. Lỗ hổng này cho phép tin tặc đưa mã JavaScript vào các bình luận để tấn công blog của bạn.
Nhóm phát triển WordPress đã phản hồi và khắc phục lỗi nhanh chóng trên phiên bản WordPress mới này và chúng tôi khuyên bạn nên cập nhật càng sớm càng tốt.
Jouko Pynnönen, đây là tên của tác giả của khám phá này, người đã báo cáo lỗi như sau:
Được kích hoạt bởi quản trị viên đã đăng nhập, với cài đặt mặc định của WordPress, kẻ tấn công có thể lợi dụng lỗ hổng để thực thi mã tùy ý trên máy chủ thông qua trình chỉnh sửa plugin và chủ đề.
Nhưng cũng tin tặc có thể thay đổi mật khẩu quản trị viên, tạo quản trị viên mới hoặc làm bất cứ điều gì có thể với quyền quản trị viên đã đăng nhập.
Lỗ hổng này tương tự như lỗ hổng được báo cáo bởi Cedric Van Brockhaven đã được sửa trên phiên bản 4.1.2 WordPress.
Thật không may, họ đã không sử dụng quy trình tiết lộ lỗ hổng bảo mật và đăng nó trên blog của họ. Và vì lý do chính đáng, nếu bạn không cập nhật blog của mình một cách nhanh chóng, nó sẽ có nguy cơ của riêng bạn.
Nếu bạn đã tắt cập nhật tự động trên WordPress, bạn sẽ phải thực hiện thủ công.
