Akismet lukker alvorligt hul

Artiklen blev oprindeligt publiceret den 20/10/2015

Udviklerne af plug-innen Akismet til WordPress har lukket et alvorligt sikkerhedshul.

Der er tale om en stored cross-site scripting-sårbarhed. Den findes i version 3.1.4 og ældre versioner. For at en angriber kan udnytte den, skal WordPress-funktionen til at konvertere emoticons til grafik være slået til – det er den som standard.

Akismet er et spamfilter til kommentarfunktionen i WordPress.

Udviklerne oplyser, at de i forvejen filtrerer for den type angrebsforsøg i API’et til tjenesten. Der er heller ikke set eksempler på angreb, der udnytter sårbarheden i praksis.

Anbefaling
Opdater Akismet til version 3.1.5 eller nyere.

Links

• Akismet 3.1.5: Security Release
• Security Advisory: Stored XSS in Akismet WordPress Plugin, Sucuri
• WordPress Fixes Critical Stored XSS Error in Akismet, artikel fra Kaspersky Threatpost