WorPress phát hành phiên bản 4.2.4 vá 6 lỗ hổng

[WhiteHat News #ID:3333]

WordPress vừa phát hành phiên bản 4.2.4 vá 6 lỗ hổng và 4 lỗi trong phiên bản trước. Thông báo phát đi cho biết WordPress 4.2.4 vá 3 lỗ hổng XSS (cross-site scripting) và một lỗ hổng SQL injection có thể được khai thác qua các website bị xâm nhập.

Trong phiên bản mới nhất này, WordPress cũng cập nhật thêm tính năng bảo vệ người dùng khỏi tấn công “timing side-channel” và chặn hacker khóa các bài đăng đã được chỉnh sửa.

WordPress cũng thông báo các bản vá lỗi này dành cho cả phiên bản WordPress 4.3 RC2. Check Point đã công bố bản mô tả ngắn gọn về lỗ hổng SQL injection (CVE-2015-2213) đã được vá trong phiên bản mới nhất này của WordPress. Hãng cho biết đây là lỗi nghiêm trọng ảnh hướng tới các phiên bản WordPress 4.2.3 và các phiên bản trước.

Theo một chuyên gia tư vấn của Check Point cho biết lỗ hổng SQL injection được tìm thấy trong tính năng Commemt của WordPress. Lỗ hổng này cho phép hacker thực hiện các truy vấn SQL tới hệ thống bị ảnh hưởng.

Phiên bản WordPress 4.2.4 được ra mắt chưa đầy hai tuần sau khi phiên bản 4.2.3 được công bố trong đó vá nhiều lỗ hổng an ninh và 20 lỗi.

Theo: Security Week​