В версии WordPress 4.2.3 исправлена XSS-уязвимость

Эксплуатация XSS-бреши разрешает преступниками взять контроль над web-сайтами. День назад, 23 июля, команда разработчиков блог-платформы WordPress выпустила корректирующее обновление WordPress 4.2.3, в котором исправлена уязвимость межсайтового скриптинга, эксплуатация которой разрешает преступникам взять контроль на web-порталами. 

По словам одного из разработчиков Гэри Пендергаста, эксплуатация данной бреши разрешает атакующим с уровнем пользователя Участник (Contributor) либо Создатель (Author) скомпрометировать интернет-ресурс. 

Межсайтовый скриптинг - это один из самых распространенных видов хакерской атаки на прикладном уровне. Целью XSS есть внедрение в страницу скриптов, которые в большинстве случаев выполняются на стороне клиента (в браузере пользователя), а не на сервере. XSS-уязвимость разрешает преступникам внедрить вредоносный код HTML, JavaScript, Flash и др. и обойти защиту wp_kses, обманом вынуждая жертву загрузить и выполнить вредоносный скрипт. Это, со своей стороны, разрешает атакующему получить доступ к ответственным данным пользователя, включая cookie-файлы. Кроме другого, обновление WordPress 4.2.3 включает исправления для последовательности не критических брешей, одна из которых разрешает пользователю с ролью Подписчик (Subscriber) публиковать черновики, применяя функцию Quick Draft.