Weer kritieke beveiligingsupdate voor WordPress

[Captain Kirk]

De makers van het zeer populaire contentmanagementsysteem (CMS) WordPress hebben voor de derde keer in twee weken tijd een kritieke beveiligingsupdate uitgebracht. Versie 4.2.2 verhelpt twee lekken, waaronder een kritiek cross-site scriptinglek dat een anonieme gebruiker in staat stelde om websites volledig over te nemen. Dit beveiligingslek was al deels in WordPress 4.2.1 gepatcht, maar is nu helemaal verholpen.

De andere kwetsbaarheid betreft ook een cross-site scriptinglek dat aanwezig in het "generic fonts" pakket was. Dit pakket wordt door allerlei populaire WordPress-themes gebruikt, waaronder het standaard theme "Twenty Fifteen". De kwetsbaarheid werd door de aanwezigheid van een HTML-bestand veroorzaakt. WordPress 4.2.2 verwijdert dan ook dit HTML-bestand. Het lek zou al zijn aangevallen voordat de update van WordPress beschikbaar was, zo meldt beveiligingsbedrijf Sucuri. Naast de twee kwetsbaarheden verhelpt versie 4.2.2 ook verschillende niet-security gerelateerde bugs. Gebruikers krijgen dan ook het advies om de update te installeren.

 

bron: security.nl