據(jù)外媒報道,被廣泛應(yīng)用于博客與論壇的應(yīng)用程序WordPress4.2中發(fā)現(xiàn)了零日漏洞(Oday),該漏洞可允許攻擊者使用跨站攻擊,從而控制網(wǎng)站。在本漏洞被報告2小時后,官方即緊急發(fā)布4.2.1安全更新,堵上了該漏洞。根據(jù)安全公司的報告,此次發(fā)現(xiàn)的漏洞一共有2個,為XSS跨站攻擊漏洞。
零日漏洞允許攻擊者將代碼插入到網(wǎng)站的HTML內(nèi)容。通過將惡意代碼嵌入到博客的底部或文章后默認(rèn)顯示評論的部分,攻擊者可以更改密碼、 添加新管理員,執(zhí)行任何其他管理員能執(zhí)行的操作。安全公司公布了攻擊演示代碼和視頻。