Image may be NSFW.
Clik here to view.
Säkerhetsexperter har hittat ett allvarligt säkerhetshål i en fil som medföljer genericons – ett typsnitt innehållande ikoner avsedda för bloggar, som används av miljontals WordPress-bloggar. Flera bloggar, teman och tillägg kommer tillsammans med genericons, och innehåller filen som öppnar säkerhetshålet. Till och med temat som följer med som standard i WordPress har filen.
Förutom TwentyFifteen har filen hittats även i WordPress-tillägget JetPack, som har över en miljon aktiva installationer. Det är känt att säkerhetshålet har använts i alla fall ett par dagar. Om du använder dig av WordPress på ett webbhotell, bör du kontrollera om filen finns hos dig, och i så fall radera den omedelbart.
Säkerhetshålet är av typen DOM-baserad XSS. Vill du veta mer om tekniken bakom en sådan här attack kan du läsa mer på Owasp eller Netsparker. Men de flesta är säkert inte speciellt intresserade av själva tekniken, utan vill bara bli av med möjligheten att utnyttja den på din blogg.
TwentyFifteen är ett tema från WordPress själva, och JetPack är ett tillägg skapat av Automattic – organisationen som står för WordPress.com och som utvecklar mycket för WordPress. Bägge använder alltså det fria typsnittet genericons, vars teckenuppsättning består av symboler framtagna speciellt för bloggar.
Clik here to view.
Genericons används av tillägg och teman för WordPress, och det innehåller en fil som heter example.html – vilket öppnar ett säkerhetshål. Du bör radera den omedelbart.
I genericons finns det en fil som heter example.html, och det är här säkerhetshålet finns. Filen ska egentligen inte finnas i paketet eftersom det är precis som namnet säger en exempelfil. Men av något skäl har denna inte raderats från paketen med JetPack respektive TwentyFifteen.
För att kontrollera om filen finns i din WordPress-installation, behöver du ansluta till din server via FTP. Bläddra till mappen wp-content och sedan themes respektive plugins. Om du här hittar TwentyFifteen och JetPack öppnar du undermappen genericons i respektive katalog. Finns filen example.html raderar du den.
Det verkar dock som om många webbhotell varit snabba och raderat filen från sina kunders mappar. Jag har till exempel sjukligt många domäner hos Loopia och ingen av mina WordPress-installationer som hade genericons innehöll någon example.html.
Källa: Sucuri Blog
