פרצת אבטחה מסוג XSS המאפשרת לתוקף להזריק JavaScript אל תוך התגובות בתוכנת הקוד הפתוח WordPress,
קוד ה-Java script יופעל בצפיה בתגובות.

במידה והקוד יופעל על ידי מנהל האתר (או מישהו עם גישת admin), תחת הגדרות ברירת המחדל יוכל התוקף להזריק קוד זדוני לשרת – לחלופין, יוכל התוקף להוסיף חשבונות חדשים ברמת admin, לשנות את סיסמת ה-admin הקיימת או בכלליות, כל העולה על רוחו.

מהות הפריצה

במידה ואורך התגובה הוא גדול מידי, מערכת ה-wordpress "חותכת" (truncate) את התגובה כך שניתן יהיה להכניסה אל תוך מסד הנתונים (שימו לב כי מדובר בתגובות הגדולות מ-64K, כך שבפועל מדובר בתגובה מאוד ארוכה).

ה"חיתוך" שמבצעת wordpress גורם לכך שקוד HTML לא תקין יועלה לעמוד ובמקרה כזה, התוקף יכול "להתגבר" על הבדיקה שה-wordpress מבצע לטובת סילוק "אלמנטים מסוכנים" מהתגובות (כמו למשל: הזרקת JavaScript שתשפיע על הגולש).

הפרצה נבדקה ואושרה בגרסאות WordPress הבאות: 4.2, 4.1.2, 4.1.1, 3.9.3

איך מתגוננים?

1. כיבוי לחלוטין של מערכת התגובות ב-Wordpress.
2. שדרוג לגרסה 4.2.1 לפחות של wordpress.

במידה והנכם מתאחסנים באחד מחשבונות ה-LINUX בחברת SPD, מערכת ה-SWAF שלנו כבר מגנה כברירת מחדל על כל האתרים שלכם.