The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.11.2014 18:29  В WordPress 3.x выявлена уязвимость, позволяющая подставить JavaScript-код через комментарий

Все сайты, основанные на системе управления контентом WordPress 3.x и допускающие размещение комментариев к публикациям, подвержены опасной уязвимости, позволяющей атакующему разместить специально оформленный комментарий, при просмотре которого будет выполнен JavaScript-код злоумышленника. Для демонстрации опасности выявленной проблемы была подготовлена атака, позволившая незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий, и использования перехваченной информации для создания новой привилегированной учётной записи и использования редактора плагинов для организации выполнения PHP-кода на сервере.

Недавно представленный выпуск WordPress 4.0 проблеме не подвержен, но разработчики выпустили корректирующий выпуск WordPress 4.0.1, в который интегрированы некоторые дополнительные механизмы защиты. На данный выпуск рекомендовано срочно перейти всем пользователям ветки WordPress 3.x, поддержка которой прекращена. Для тех, кто не может срочно мигрировать на ветку 4.0, подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5. По приблизительной оценке эта проблема присутствует на 86 процентах сайтов, построенных с использованием WordPress.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 18:58, 24/11/2014 [ответить] [смотреть все]
  • +2 +/
    Авторы WordPress прекратили поддержку 86 сайтов, построенных с использованием W... весь текст скрыт [показать]
     
     
  • 2.4, A.Stahl, 19:12, 24/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +19 +/
    Строго говоря авторы ВордПресса не должны заниматься "поддержкой сайтов". Они должны заниматься поддержкой своей программы. Они это делают. Остальное -- проблемы админов сайтов, которые не хотят/не могут обновиться на актуальную версию.
     
     
  • 3.5, Аноним, 19:58, 24/11/2014 [^] [ответить] [смотреть все]  
  • +/
    Не цепляйся к словам, имелось ввиду 171 86 своих пользователей 187 , хотя на... весь текст скрыт [показать]
     
  • 2.19, Аноним, 13:54, 25/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Или Аноним читает новость через строчку ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, бедный буратино, 20:14, 24/11/2014 [ответить] [смотреть все]  
  • –4 +/
    и чё сделать, чтобы поюзать? почему самый смак новости отпустили?
     
     
  • 2.7, Аноним, 20:41, 24/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Чтоб мамкины хакеры не полезли хакать всё подряд, очевидно.
     
     
  • 3.8, anonymous, 21:07, 24/11/2014 [^] [ответить] [смотреть все]  
  • +4 +/
    А вот зря Чем выше активность мамкиных хакеров, тем больше простой народ у мен... весь текст скрыт [показать]
     
  • 3.9, бедный буратино, 21:08, 24/11/2014 [^] [ответить] [смотреть все]  
  • +11 +/
    что за ущемление прав мамкиных хакеров?
     
     
  • 4.11, Аноним, 21:38, 24/11/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Скорее ущемление тех кто не умеет читать и ходить по ссылкам - у этих фиников на... весь текст скрыт [показать]
     
  • 2.10, Аноним, 21:36, 24/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Настоящие джедаи по ссылкам не ходят и поэтому PoC эти ламаки не нашли А напрас... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Аноним, 22:29, 24/11/2014 [ответить] [смотреть все]  
  • –1 +/
    Worm press vs jumpla
     
     
  • 2.14, th3m3, 22:33, 24/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Тогда и Drupal туда же. Недавно сказали, что все сайты, кто не успел обновиться, являются скомпрометированными.
     
     
  • 3.15, Аноним, 07:19, 25/11/2014 [^] [ответить] [смотреть все]  
  • +/
    Учитывая, сколько дыр регулярно находят а сколько ещё не нашли в Wordpress и ... весь текст скрыт [показать]
     
     
  • 4.16, Аноним, 10:21, 25/11/2014 [^] [ответить] [смотреть все]  
  • +/
    О! Сотрудники битрикса подвалили. Чо, продажи падают?
     
     
  • 5.17, Аноним, 10:35, 25/11/2014 [^] [ответить] [смотреть все]  
  • +/
    Ха В Битриксе дыры заботливо создают сами разрабы платформы, ведь это хлеб для ... весь текст скрыт [показать]
     
  • 4.21, Аноним, 16:06, 27/11/2014 [^] [ответить] [смотреть все]  
  • +/
    И сколько Обычно дыры - в всяких левых дополнениях В самом вордпрессе их мало ... весь текст скрыт [показать]
     
  • 1.18, anonymous, 11:00, 25/11/2014 [ответить] [смотреть все]  
  • –2 +/
    Это php, ничего не поделать.
     
     
  • 2.20, yutoks, 19:34, 25/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Япон-батон, дак хоть бы права на скрипты на чтение выставляли.
    Глядишь, и ломалось бы поменьше.
     
     
  • 3.22, Аноним, 16:08, 27/11/2014 [^] [ответить] [смотреть все]  
  • +/
    Вы что, глупые Тут проблема в слабой валидации входных данных При этом не важн... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList