В новой версии WordPress 4.2.3 исправлена XSS-уязвимость и ряд других брешей

23 июля, команда разработчиков блог-платформы WordPress выпустила корректирующее обновление WordPress 4.2.3, в котором исправлена уязвимость межсайтового скриптинга, эксплуатация которой позволяет злоумышленникам получить контроль на web-порталами.

По словам одного из разработчиков Гэри Пендергаста, эксплуатация данной бреши позволяет атакующим с уровнем пользователя Участник (Contributor) или Автор (Author) скомпрометировать интернет-ресурс.

Межсайтовый скриптинг — это один из самых распространенных видов хакерской атаки на прикладном уровне.

Целью XSS является внедрение в страницу скриптов, которые обычно выполняются на стороне клиента (в браузере пользователя), а не на сервере. XSS-уязвимость позволяет злоумышленникам внедрить вредоносный код HTML, JavaScript, Flash и др. и обойти защиту wp_kses, обманом вынуждая жертву загрузить и исполнить вредоносный скрипт.

Это, в свою очередь, позволяет атакующему получить доступ к важным данным пользователя, включая cookie-файлы.