Hanya 3 hari setelah versi WordPress 4.2, seorang peneliti kerentanan menemukan cacat XSS yang mempengaruhi versi 4.2, 4.1.2, 4.1.1, 4.1.3 dan 3.9.3. Cacat ini memungkinkan peretas memasukkan kode JavaScript ke dalam komentar untuk meretas blog Anda.

Tim pengembang WordPress menanggapi dan memperbaiki kesalahan dengan cepat pada versi baru WordPress ini dan kami menyarankan Anda untuk memperbaruinya sesegera mungkin.

XSS-keamanan

Jouko Pynnönen, ini adalah nama penulis penemuan ini, yang melaporkan kesalahan sebagai berikut:

Dipicu oleh administrator yang masuk, dengan pengaturan default WordPress, penyerang dapat memanfaatkan kerentanan untuk mengeksekusi kode arbitrer di server melalui editor plugin dan tema.

Tapi juga, peretas dapat mengubah kata sandi administrator, membuat administrator baru atau melakukan apa pun yang mungkin dilakukan dengan hak istimewa administrator yang masuk.

Kerentanan ini mirip dengan yang dilaporkan oleh Cedric Van Brockhaven yang telah diperbaiki pada versi 4.1.2 WordPress.

Sayangnya, mereka tidak menggunakan proses pengungkapan kerentanan yang aman dan mempostingnya di blog mereka. Dan untuk alasan yang bagus, jika kamu tidak segera menaruhnya blog Anda terkini, risikonya Anda tanggung sendiri.

Jika Anda telah menonaktifkan pembaruan otomatis di WordPress, Anda harus melakukannya secara manual.