The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.11.2014 18:29  В WordPress 3.x выявлена уязвимость, позволяющая подставить JavaScript-код через комментарий

Все сайты, основанные на системе управления контентом WordPress 3.x и допускающие размещение комментариев к публикациям, подвержены опасной уязвимости, позволяющей атакующему разместить специально оформленный комментарий, при просмотре которого будет выполнен JavaScript-код злоумышленника. Для демонстрации опасности выявленной проблемы была подготовлена атака, позволившая незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий, и использования перехваченной информации для создания новой привилегированной учётной записи и использования редактора плагинов для организации выполнения PHP-кода на сервере.

Недавно представленный выпуск WordPress 4.0 проблеме не подвержен, но разработчики выпустили корректирующий выпуск WordPress 4.0.1, в который интегрированы некоторые дополнительные механизмы защиты. На данный выпуск рекомендовано срочно перейти всем пользователям ветки WordPress 3.x, поддержка которой прекращена. Для тех, кто не может срочно мигрировать на ветку 4.0, подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5. По приблизительной оценке эта проблема присутствует на 86 процентах сайтов, построенных с использованием WordPress.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 18:58, 24/11/2014 [ответить] [смотреть все]     [к модератору]
  • +2 +/
    Авторы WordPress прекратили поддержку 86 сайтов, построенных с использованием W... весь текст скрыт [показать]
     
     
  • 2.4, A.Stahl, 19:12, 24/11/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +19 +/
    Строго говоря авторы ВордПресса не должны заниматься "поддержкой сайтов". Они должны заниматься поддержкой своей программы. Они это делают. Остальное -- проблемы админов сайтов, которые не хотят/не могут обновиться на актуальную версию.
     
     
  • 3.5, Аноним, 19:58, 24/11/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не цепляйся к словам, имелось ввиду 171 86 своих пользователей 187 , хотя на... весь текст скрыт [показать]
     
  • 2.19, Аноним, 13:54, 25/11/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Или Аноним читает новость через строчку ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, бедный буратино, 20:14, 24/11/2014 [ответить] [смотреть все]    [к модератору]  
  • –4 +/
    и чё сделать, чтобы поюзать? почему самый смак новости отпустили?
     
     
  • 2.7, Аноним, 20:41, 24/11/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Чтоб мамкины хакеры не полезли хакать всё подряд, очевидно.
     
     
  • 3.8, anonymous, 21:07, 24/11/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    А вот зря Чем выше активность мамкиных хакеров, тем больше простой народ у мен... весь текст скрыт [показать]
     
  • 3.9, бедный буратино, 21:08, 24/11/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +11 +/
    что за ущемление прав мамкиных хакеров?
     
     
  • 4.11, Аноним, 21:38, 24/11/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Скорее ущемление тех кто не умеет читать и ходить по ссылкам - у этих фиников на... весь текст скрыт [показать]
     
  • 2.10, Аноним, 21:36, 24/11/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Настоящие джедаи по ссылкам не ходят и поэтому PoC эти ламаки не нашли А напрас... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Аноним, 22:29, 24/11/2014 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Worm press vs jumpla
     
     
  • 2.14, th3m3, 22:33, 24/11/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Тогда и Drupal туда же. Недавно сказали, что все сайты, кто не успел обновиться, являются скомпрометированными.
     
     
  • 3.15, Аноним, 07:19, 25/11/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Учитывая, сколько дыр регулярно находят а сколько ещё не нашли в Wordpress и ... весь текст скрыт [показать]
     
     
  • 4.16, Аноним, 10:21, 25/11/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    О! Сотрудники битрикса подвалили. Чо, продажи падают?
     
     
  • 5.17, Аноним, 10:35, 25/11/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ха В Битриксе дыры заботливо создают сами разрабы платформы, ведь это хлеб для ... весь текст скрыт [показать]
     
  • 4.21, Аноним, 16:06, 27/11/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И сколько Обычно дыры - в всяких левых дополнениях В самом вордпрессе их мало ... весь текст скрыт [показать]
     
  • 1.18, anonymous, 11:00, 25/11/2014 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Это php, ничего не поделать.
     
     
  • 2.20, yutoks, 19:34, 25/11/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Япон-батон, дак хоть бы права на скрипты на чтение выставляли.
    Глядишь, и ломалось бы поменьше.
     
     
  • 3.22, Аноним, 16:08, 27/11/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вы что, глупые Тут проблема в слабой валидации входных данных При этом не важн... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor