fb-head-tag-img

Kritisk fejl i WordPress CMS – Opdater nu!

Du læser nu et gammelt blogindlæg. Der er ikke læst korrektur på dette, og der er muligvis kommet ny information frem siden. Blogindlægget vil blive kigget igennem snarest.

Kritisk fejl i WordPress

Hvis du ikke allerede har opdateret dit WordPress til den seneste version, version 5.0.3, så er det en glimrende idé at begynde nu. En kritisk fejl bringer dit website i potentiel stor fare, såfremt du venter med at opdatere.

Dette rapporterer ‘The Hacker News’, en it-nyheds gigant med over 2 mio. følgere på Facebook, i en ny artikel fra den 19. februar 2019.

I en undersøgelse af WordPress, har forskere ved RIPS Technologies GmbH løftet sløret for en grum opdagelse – et ubemærket sikkerhedshul i WordPress.

Fejlen påvirker alle udgivelser af WordPress med undtagelse af den nyeste, version 5.0.3.

Fejlen er?

Ifølge Simon Scannel, forsker hos RIPS Technologies, har han konkluderet at brugere i WordPress med author/forfatter-rettigheder, kan tilegne sig selv administrator-rettigheder.  Dermed kan de opnå adgang til alt.

Dvs. alle brugere med author-rettigheder kan nu overtage sitet. Derved kan de få adgang til samtlige filer tilknyttet sitet, og dele eller destruere sitet og dets indhold.

Kort sagt, kan en author udnytte et sikkerhedshul i et billede, hvilket i faglige termer kaldes en ‘Path Traversal vulnerability’ (PTV).

Se i denne video, hvor hurtigt og nemt, en author kan tilegne sig administrative rettigheder ved brug af denne nyfundne brist.

Angrebet, som også vises i videoen ovenfor, kan udføres på få sekunder. Dette kan give en person fuld kontrol over en sårbar WordPress blog. Simon Scannel forklarer yderligere, om dette i sit blogindlæg “WordPress 5.0.0 Remote Code Execution”.

Skal du bruge en hjælpende hånd til at opdaterer dit WordPress til version 5.0.3?

Kontakt os på info@twentyfour.dk, eller indtast dine oplysninger i feltet nedenunder. Vi er altid med på en uforpligtende samtale.

Er du interesseret i flere sikkerhedsnyheder? Læs vores blog om den nylige password lækage ‘the Collection #2-#5.