The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

14.12.2018 10:55  В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками

Спустя неделю с момента выхода новой ветки системы управления web-контентом WordPress 5.0 сформирован корректирующий релиз 5.0.1, в котором устранено 7 уязвимостей:

  • Страница активации нового пользователя могла индексироваться поисковыми системами, что при определённых настройках могло привести к утечке через поисковики email-адресов и сгенерированных по умолчанию паролей;
  • Пользователи могли через манипуляции с мета-данными выполнить подстановку объектов и инициировать выполнение своего PHP-кода;
  • Авторы могли изменить метаданные для инициирования удаления файлов, не имея на это полномочий;
  • Авторы могли размещать неразрешённые им типы публикаций через манипуляции с параметрами запроса;
  • Непривилегированные участники могли редактировать новые комментарии более привилегированных пользователей (в том числе могли подставить в комментарии JavaScript-код, если автор изначального комментария имел на это полномочия);
  • Возможность организации межсайтового скриптинга через указание специально оформленных ссылок (непосредственно WordPress не подвержен проблеме, но уязвимость проявляется при использовании некоторых плагинов);
  • Возможность организации межсайтового скриптинга через загрузку авторами контента специально модифицированных файлов, которые позволяют обойти проверку MIME-типов на системах под управлением http-сервера Apache (WordPress определял MIME-тип по расширению без учёта содержимого, что, например, позволяет загрузить phar-файл в файле с расширением ".jpg" при проведении атак "Phar deserialization").


  1. Главная ссылка к новости (https://wordpress.org/news/201...)
  2. OpenNews: Релиз системы управления web-контентом WordPress 5.0 с новым web-редактором
  3. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
  4. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
  5. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
  6. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, КГБ СССР (?), 11:25, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +17 +/
    Это уже вообще. :-)

    Давайте ещё реквизиты кредиток проиндексируем.

     
     
  • 2.6, Аноним (6), 11:48, 14/12/2018 [^] [ответить]    [к модератору]
  • –12 +/
    uBlock в помощь
     
     
  • 3.11, Аноним (11), 12:12, 14/12/2018 [^] [ответить]    [к модератору]
  • +13 +/
    Ublock в вордпрессе? Да ты силён!
     
  • 2.39, а давайте (?), 17:47, 14/12/2018 [^] [ответить]    [к модератору]
  • +2 +/
    https://ptpb.pw/q3ii.png
     
     
  • 3.40, КГБ СССР (?), 17:55, 14/12/2018 [^] [ответить]    [к модератору]
  • +1 +/
    Ага. Вот поэтому надо использовать uMatrix и блокировщики в запретительном режиме (то есть: запрещено всё, что не разрешено явно).
     
  • 3.42, Dmitry77 (ok), 19:07, 14/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Сильно!
     
  • 1.2, Гутенберг (?), 11:33, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +15 +/
    Зато в 5.0 новый редактор !
     
     
  • 2.12, Аноним (11), 12:12, 14/12/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Вордпресс это интерпрайз!
     
  • 1.3, Аноним (3), 11:34, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Эпично, что тут сказать.
    Web 3.0, суперинновацонномегасовременные решения...
     
  • 1.4, Аноним (4), 11:37, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    > Страница активации нового пользователя могла индексироваться поисковыми системами

    Нечего вставлять на страницы активации код Google Analytic и Google Adsence.
    Бот Google теперь очень шустрый и почти сразу пытается индексировать страницы, на которых был вызов рекламы или счётчика Google. Защита простая - никакого внешнего JavaScript-кода на страницах авторизации.

    С этом кстати очень много казусов связано, когда пользователь размещает какой-то приватный текст, думая что если ссылку никому не показывать, никто его не увидит. А потом этот текст всплывает в выдаче Google.

     
     
  • 2.7, Аноним (7), 11:52, 14/12/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Тогда сайта не будет в выдаче гугла, или он будет, но где-то глубоко внизу спины... весь текст скрыт [показать]
     
     
  • 3.9, Дмитрий (??), 12:06, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Значит в топkу (что за фильтр???) такой бизнес. А если гугл скажет хранить пароли в незашифрованном формате, но поднимет на 100 позиций, так и сделает бизнес?
     
     
  • 4.15, наебизнес (?), 12:20, 14/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    конечно - это ж твои пароли, а не мои.

     
  • 4.16, Аноним (16), 12:20, 14/12/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    как г... скажет так и сделают. гугл для среднестатистического айтишника - священный грааль сети  
     
  • 4.67, Аноним (67), 12:30, 16/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Бизнесу вообще всё равно какие требования ты хочешь увидеть на их сайте На серт... весь текст скрыт [показать]
     
  • 1.5, Аноним (6), 11:47, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Привет phar бэкдорам.
     
  • 1.8, Аноним (7), 11:56, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Хе-хе... эпично.
    Ждём юных вебдизайнеров, марширующих стройной колонной с лозунгом "а зато мы лепим остойные сайты быстро и много".
     
     
  • 2.26, Антон (??), 13:15, 14/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    пока они будут делать долго, дорого и качественно их конкуренты обойдут Плюс ст... весь текст скрыт [показать]
     
     
  • 3.32, Аноним (32), 14:16, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    ога. а если сайт поломают - можно навешать люлей админу и лишить премии.
     
     
  • 4.33, Аноним (32), 14:17, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    в смысле - своему офисному админу.
     
  • 4.37, Криптоинтвестор (?), 16:55, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Галеры и шлюпки не нужны, прыгайте за порт пока не поздно.
     
  • 1.10, Аноним (10), 12:08, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    По-моему, это список уязвимостей для приложения версии 0.2.3 или там 0.5.7. Ну ладно, 0.9.4.
    Но вордпресс версии 5, выпускаемый уже много лет.. КААААК?
     
     
  • 2.18, A.Stahl (ok), 12:27, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Проект жив, код меняется, поэтому могут возникать новые ошибки. Что здесь странного?
     
     
  • 3.21, ram_scan (?), 12:42, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Проект жив, код меняется, поэтому могут возникать новые ошибки. Что здесь странного?

    То что проект жив, код  меняется, а грабли все те же и все там-же.

     
     
  • 4.24, A.Stahl (ok), 12:50, 14/12/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Вовсе нет. Там грабли всегда разные и в разных местах. Не наговаривайте.

     
     
  • 5.53, Аноним (53), 14:07, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Не обманывай людей Эти и подобные ошибки в вордпрессе всплывают ченжлогах уже н... весь текст скрыт [показать]
     
  • 3.25, Аноним (7), 13:05, 14/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Странно то, что код меняется не в лучшую сторону. Впрочем, для php-проектов, особенно wp, это нормально.
     
  • 3.49, th3m3 (ok), 20:59, 14/12/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Странно то, что кто-то продолжает пользоваться этим в 2018 году.
     
     
  • 4.57, OldFart (?), 17:53, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    А что лучше?
     
     
  • 5.58, th3m3 (ok), 18:12, 15/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >  А что лучше?

    Более современный и адекватный язык, а так же фрамеворк. Никто давно уже не сидит на коробочных CMS и уж тем более на php.

     
     
  • 6.60, OpenEcho (?), 19:51, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Ысчо один Цукерберг - We moving fast, we breaking things Вот все, что было с... весь текст скрыт [показать]
     
     
  • 7.61, КГБ СССР (?), 22:18, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Как только в разговоре на технические темы прозвучало «более современное», то жди неприятностей.
     
     
  • 8.66, Аноним (66), 02:03, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Правильно. Поэтому вместо PHP (1995) лучше использовать Erlang (1986).
     
  • 7.62, th3m3 (ok), 22:55, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Миллионы леммингов не могут ошибаться. Угу)
     
     
  • 8.63, OpenEcho (?), 23:51, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    От такого гениального величия , смотрите к психиатору не угодите Так где тот... весь текст скрыт [показать]
     
     
  • 9.65, Аноним (66), 02:01, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Чесотка - контагиозное кожное заболевание. Мало ли что там где у них чешется. Их надо по этим лапам бить, и не позволять ничего трогать.
     
     
  • 10.70, OpenEcho (?), 12:40, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >Их надо по этим лапам бить, и не позволять ничего трогать.

    А кто работать тогда будет? Гении на опеннете заняты, им не когда, надо советы умные давать...

     
  • 2.19, Аноним (19), 12:30, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    изменилась методика обнаружения уязвимостей.
     
     
  • 3.73, Аноним (73), 11:54, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Главное, что ВВП все страны считают по-старому. Чтобы не путать людей.
     
  • 2.27, Борщдрайвен бигдата (?), 13:18, 14/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Initial release: 2003

    Итого, уже пятнадцать лет проект живет без юнит-тестов, без статической проверки анализаторами кода, и так далее, и тому подобное.

    Это уж точно не норма.

     
  • 2.48, th3m3 (ok), 20:58, 14/12/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Как тут писали любители обмазываться всяким там php-УГ - якобы Wordpress пилят п... весь текст скрыт [показать]
     
  • 1.13, Ilya Indigo (ok), 12:18, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Я в шоке...
    И большинство вэб-студий продолжают его использовать невзирая ни на что...
    И почти всех клиентов этих студий это устраивает...
     
     
  • 2.14, Дмитрий (??), 12:19, 14/12/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Дак им всё равно, сайт сделали - деньгу получили, всё, иди гуляй, так работают многие :)
     
  • 2.17, уепстудия (?), 12:21, 14/12/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    потому что все остальное еще хуже, что тебя удивляет если в твоем языке нельзя ... весь текст скрыт [показать]
     
  • 1.20, Аноним (20), 12:33, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Будь я автором такого проекта, я бы давно выкинул комп и пошел работать сантехником. Это же позорище, каждый  месяц новые критические баги. И кто-то у меня будет спрашивать, почему я ругаю похапе?
     
     
  • 2.29, Аноним (29), 13:47, 14/12/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Ага, пусть на Си перепишут
     
  • 2.34, blblblblbl (?), 14:55, 14/12/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    o5-25, причём тут похапе и толпа долбоящеров Я знаю питонщиков с многолетним о... весь текст скрыт [показать]
     
     
  • 3.71, Qwerty (??), 14:02, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >o5-25

    Тебе ли говорить о долбоящерах?

     
  • 2.35, пох (?), 15:48, 14/12/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Стоять, гад, куда собрался Это тебе не программирование, этим только специальн... весь текст скрыт [показать]
     
     
  • 3.41, Аноним (41), 17:56, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    сантех для тех, кто хочет вести "половую" жизнь, сравнение - нарабатывание геммороя и аутизма на программировании против слив на голову, штроб, пайка, и чугунные 10-ки для надрыва мышц
     
  • 3.68, Аноним (67), 12:35, 16/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Анекдот в тему Пошел парень в ученики к сантехнику Наставник взял его с собой ... весь текст скрыт [показать]
     
     
  • 4.72, Аноним (41), 21:33, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    лучше вызов на порыв, чем по приказу или нужде отдуваться за кодошлёпов)


     
  • 2.50, th3m3 (ok), 21:02, 14/12/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Как это обычно бывает, Wordpress наговнокодили по быстрому, а он вдруг выстрелил... весь текст скрыт [показать]
     
     
  • 3.59, OpenEcho (?), 19:34, 15/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Вы cлучайно не политик Можно конкретики адекват, архитектура и нормальный ... весь текст скрыт [показать]
     
  • 1.22, pda (?), 12:44, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Инновационно. Ссылка "забыл пароль" ведёт на google "<my@email>" site:<wordpress.sitename>.
     
     
  • 2.52, аноним3 (?), 23:18, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    И блоба не надо. Сами отдают. Юзвери такие милые, вот только что на опеннете делают?)
     
     
  • 3.74, Аноним (73), 18:25, 17/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Высказывают своё ценное мнение.
    Тут из реальных специалистов полтора человека,
    да и те приходят за тонким трололо,
    остальные юзеры и есть.
     
  • 1.28, elimelech (ok), 13:44, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    вот подождите новая Джумла вам покажет! :))))
     
  • 1.30, Аноним (30), 13:59, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Пока Вы тут охайте какой же небезопасный инструмент этот вордпрес, компании кучу бабла уже с него поимели.
     
     
  • 2.54, Аноним (53), 14:11, 15/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Мне тебя жаль, если бабло для тебя — главное мерило успеха.
     
     
  • 3.64, OpenEcho (?), 00:14, 16/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Мне тебя жаль, если бабло для тебя — главное мерило успеха.

    А че? В магазинах теперь можно за лозунги, веру и моральное удовлетворение что то купить ?
    Вам бы лет на 40-80 назад вернуться и на БАМ к Павке Корчагину...
    Вы стариков поспрашивайте, - много им к концу жизни перепало за их духовное богатство

     
  • 3.75, Аноним (73), 18:28, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    "Мне тебя жаль" это такая форма унижения людей разными мyдаками в Интернете. Ты даже не толстый, а длинный как лента Мёбиуса.
     
  • 1.45, Онаним (?), 20:27, 14/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Индексация паролей? Это как? Не, какой радиус кривизны должен быть у рук, чтобы такое состряпать.
     
     
  • 2.47, Криптоинтвестор (?), 20:53, 14/12/2018 [^] [ответить]    [к модератору]  
  • +/
    На DSL Ruby такое трудно запилить...
     
     
  • 3.55, Аноним (53), 14:18, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Не обманывай Достаточно на страницу восстановления пароля со сгенерированным н... весь текст скрыт [показать]
     
     
  • 4.76, Drew (??), 02:26, 06/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Млять.
    Ну что мешает на предыдущей странице отдавать клиенту куку, а на этой -- эту куку проверять?! И если куки нет -- отдавать стаб, а не страницу?
    Это что, вершина Web-технологий?
     
  • 1.56, OldMonster (ok), 15:03, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    индексация паролей....
    Хорошая новость, спасибо, поржал!
     
  • 1.69, Аноним (67), 12:38, 16/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Теперь проще пароли будет искать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor