חוקר ישראלי גילה פגיעות קריטית המאפשרת מניעת שירות באתרי WordPress
מאת:
מערכת Telecom News, 5.2.18, 19:50
נמצאה פגיעות בממשק ניהול התוכן של אתרי WordPress המאפשרת לתוקף לבצע תקיפת מניעת שירות, ולמנוע גישה כמעט לכל אתר הפועל באמצעות פלטפורמה זו. הפגיעות דווחה ליצרן התוכנה, אך טרם פורסם עדכון אבטחה.
דווח, שהפגיעות (
CVE-2018-6389) היא במודול המעלה סרקיפטים שונים לאתר (
load-scripts.php) הנגיש ללא צורך בהזדהות. מודול זה יכול להכיל פניה לסקריפטים מסוג
JavaScript, שנטענים לאתר.
תוקף יכול לשלוח בקשה המכילה את כל הסקריפטים הללו, ולבקש מהשרת לטעון ולהפעיל את כולם, בקשה, שחזרה עליה ברצף יוצרת עומס על השרת, ועלולה להביא למניעת שירות.
יש לציין, שהפגיעות רלוונטית גם לגרסה האחרונה של
WordPress – 4.9.2.
החוקר הישראלי, שגילה את הפגיעות, פרסם תיקון עוקף באמצעות שינוי קוד.
מומלץ לבחון את הפתרון בסביבת מעבדה או בדיקות טרם הטמעה.
נכון לשלב זה,
WordPress לא מתכוונים לתקן את הפגיעות ורואים בה כבעיה מצד השרת. מומלץ לעקוב אחר פרסומים על עדכוני גרסה עתידיים.
.png?id=30697102)
