Zranitelnost nultého dne v pluginu pro FancyBox

9.2.2015 WordPress

Plugin, který do redakčního systému WordPress implementuje prohlížečku obrázků FancyBox, obsahoval kritickou bezpečnostní chybu. S jejím využitím mohli útočníci zranitelný web napadnout množstvím vložených iframů.

FancyBox asi používá většina z vás, kdo má ve WordPressu nějaký obrázkový obsah. Plugin FancyBox for WordPress však umí tuto javascriptovou knihovnu využít i k zobrazování jakéhokoli jiného HTML obsahu.

Nedávná bezpečnostní chyba ve WordPressovském pluginu umožnila útočníkům nakazit teoreticky až 600 000 webů, které by mohli tento plugin používat. Nákaza se projevuje vložením iframů z domény 203koko(tečka)eu.

Tvůrci WordPressu reagovali odstraněním pluginu do doby, než jeho autor vydal opravenou verzi. Pokud plugin používáte, měli byste svůj web s WordPressem co nejdříve aktualizovat.

Zdroj: SecurityWeek.com a CSIRT

Jan Polzer

Tvůrce webů specializující se na Drupal, WordPress a Symfony. Autor českých knih o Drupalu, Acquia Certified Developer a Site Builder.

- Můj web


TwitterFacebookLinkedInYouTube

Řekněte o článku přátelům:Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin