Zespół WordPress naprawił lukę w oprogramowaniu istniejącą w wersji 5.1.1, która mogła pozwolić atakującym na wykonanie ataków XSS z wykorzystaniem spreparowanych komentarzy na stronach WordPress, które miały je włączone.
Załatana podatność umożliwia przejęcie stron internetowych z wykorzystaniem ataku CSRF, zachęcając administratora do odwiedzenia złośliwej strony hostowanej przez atakującego. Następnie za pomocą ukrytej ramki iFrame, umożliwia wykonanie dowolnego kodu.
Zainfekowanych zostało 20 tyś. witryn z czego około 4 tyś. używa wersji 5.0. Podatność ta jest szczególnie niebezpieczna, ponieważ WordPress stanowi ponad 33% wszystkich stron internetowych, a komentarze są domyślnie włączone.
Więcej informacji: https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny