Dilaporkan oleh securityweek"WordPress CMS yang digunakan oleh jutaan situs web yang rentan terhadap dua ancaman baru ditemukan yang memungkinkan penyerang untuk mengambil kontrol penuh dari server Web. Kode serangan telah dirilis yang menargetkan salah satu versi terbaru dari WordPress, membuatnya menjadi zero-day exploit yang bisa menyentuh beberapa serangkaian pembajakan situs di seluruh Internet."Dikutip dari secweek
Serangan tersebut berbentuk
XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script codelainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk cascade style sheet.
Penjelasan diatas saya ambil dari Wikipedia, jika anda masih bingung, maka hal yang terbaik adalah dengan memberikan contoh, silahkan copy code ini lalu jalankan Di CMS WP yang mengalami XSS Vuln.
Hal itu membuat wordpress langsung mengupdate versi terbaru mereka dari sebelum nya versi 4.2 menjadi 4.2.1<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA [64 kb] ...'>
Vulnerability ini dungkapkan oleh user yang bernama Pynonen , ditemukan oleh peneliti Belgia Cedric Van Bockhaven, yang tetap WordPress pekan lalu dengan merilis versi 4.1.2, lebih dari setahun setelah dilaporkan. Bug, yang mempengaruhi WordPress 4.2 dan sebelumnya, dapat dimanfaatkan oleh penyerang tidak terauthentikasi untuk mengeksekusi kode arbitrary melalui komentar yang sangat panjang yang bisa dipotong ketika mereka disimpan ke dalam database.
Dan user yang melaporkan XSS Tersebut mendapatkan bounty sejumlah 100 USD
0 Komentar untuk "Baru saja diluncurkan versi wordpress baru sudah memiliki Vulnerability "