Hacking WordPress Website with Just a Single Comment

Monday, April 25th, 2016 - Home, technology, Uncategorized

Hacking WordPress Website with Just a Single Comment

Advertisement

Kebanyakan kali kami telah diberitahu tentang kerentanan WordPress melibatkan plugin rentan, tapi kali ini seorang peneliti di keamanan Finlandia telah menemukan kerentanan zero-day kritis dalam mesin utama sistem manajemen konten WordPress.

Ya, Anda dengar. WordPress CMS yang digunakan oleh jutaan situs rentan terhadap cacat zero-day yang dapat memungkinkan hacker untuk eksekusi kode jauh pada server Web untuk mengambil kontrol penuh dari itu.

Kerentanan, ditemukan oleh Jouko Pynnönen dari perusahaan keamanan yang berbasis di Finlandia Klikki Oy, adalah satu cross-site scripting (XSS) cacat terpendam dalam sistem komentar WordPress.

mempengaruhi kerentanan versi WordPress 3.9.3, 4.1.1, 4.1.2, dan versi terbaru dari WordPress 4.2.

Pynnönen mengungkapkan rincian cacat nol-hari, bersama dengan video dan bukti kode konsep untuk mengeksploitasi dari serangga di nya blog entri Minggu sebelum tim WordPress bisa mengatur untuk merilis patch.

mengapa peneliti membuat penonton 0-hari?

A cross-site scripting-sama (XSS) ditambal minggu ini oleh para pengembang WordPress, yang hampir 14 bulan setelah tim diberitahu penghakiman.

Karena takut keterlambatan dalam memperbaiki lubang ini, Pynnönen go public dengan rincian kritis kerentanan zero-day di WordPress 4.2 dan di bawah, sehingga pengguna sistem manajemen konten populer bisa lebih dulu.

Selanjutnya, Pynnonen dilaporkan tim WordPress kerentanan, tetapi bahwa “ menolak semua upaya untuk berkomunikasi ” yang digelar sejak November 2014.

mengeksploitasi kerentanan -Day 0:

kerentanan memungkinkan hacker menyuntikkan kode JavaScript berbahaya di bagian komentar muncul di bagian bawah jutaan blog WordPress atau artikel posting di seluruh dunia. Namun, tindakan ini harus diblokir dalam keadaan normal.

ini dapat memungkinkan hacker untuk mengubah password, menambahkan administrator baru, atau melakukan tindakan lain yang hanya dapat dilakukan oleh administrator yang sah dari website. Ini adalah apa yang kita sebut serangan cross-site scripting

demonstrasi Video serangan:.

Anda dapat menonton demo video di bawah ini yang menunjukkan serangan dalam tindakan:

Pynnonen menggambarkan kegagalan 0 hari berikut

“Jika disebabkan oleh login administrator di konfigurasi default penyerang dapat mengeksploitasi kerentanan untuk mengeksekusi kode arbitrary pada server melalui penerbit Plugin subjek, “ Pynnönen menulis dalam sebuah blog yang diterbitkan pada hari Minggu malam.
“Atau, penyerang bisa mengubah password administrator, membuat account administrator baru, atau melakukan hal lain yang login administrator dapat dilakukan di sistem target.”

Bagaimana 0-Day mengeksploitasi karya?

nol-hari mengeksploitasi disediakan oleh karya peneliti dengan posting kode JavaScript sederhana seperti komentar, dan kemudian menambahkan selama 66.000 karakter atau lebih dari 64 KB .

Ketika komentar diproses oleh seseorang dengan hak administrator WordPress untuk website, kode berbahaya dijalankan tanpa memberikan indikasi untuk administrator.

Secara default, WordPress tidak secara otomatis menerbitkan komentar dari pengguna ke posisi sampai dan kecuali pengguna telah disetujui oleh administrator situs.

hacker dapat melewati keterbatasan ini dengan menipu administrator dengan jinak komentar pertama, yang setelah disetujui akan memungkinkan komentar berbahaya jauh dari orang itu. untuk disetujui dan diterbitkan dalam posisi yang sama secara otomatis

WordPress patch kegagalan 0-Day:

untuk memecahkan masalah keamanan, administrator harus memperbarui CMS Anda WordPress 4.2.1 , yang dirilis beberapa jam lalu.

“Ini adalah rilis keamanan penting untuk semua versi sebelumnya dan memperbarui situs mereka sangat dianjurkan segera” Tim WordPress mengatakan versi terbaru.

WordPress 4.2.1 laporan bug, nol hari kerentanan dilansir Pynnonen. Jadi jika Anda memiliki situs web WordPress, pastikan bahwa Anda menjalankan versi terbaru dari CMS dengan semua plugin sampai versi date.



Source link : Hacking WordPress Website with Just a Single Comment

Advertisement

Pictures gallery of Hacking WordPress Website with Just a Single Comment

Hacking WordPress Website with Just a Single Comment | admin | 4.5