The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками

14.12.2018 10:55

Спустя неделю с момента выхода новой ветки системы управления web-контентом WordPress 5.0 сформирован корректирующий релиз 5.0.1, в котором устранено 7 уязвимостей:

  • Страница активации нового пользователя могла индексироваться поисковыми системами, что при определённых настройках могло привести к утечке через поисковики email-адресов и сгенерированных по умолчанию паролей;
  • Пользователи могли через манипуляции с мета-данными выполнить подстановку объектов и инициировать выполнение своего PHP-кода;
  • Авторы могли изменить метаданные для инициирования удаления файлов, не имея на это полномочий;
  • Авторы могли размещать неразрешённые им типы публикаций через манипуляции с параметрами запроса;
  • Непривилегированные участники могли редактировать новые комментарии более привилегированных пользователей (в том числе могли подставить в комментарии JavaScript-код, если автор изначального комментария имел на это полномочия);
  • Возможность организации межсайтового скриптинга через указание специально оформленных ссылок (непосредственно WordPress не подвержен проблеме, но уязвимость проявляется при использовании некоторых плагинов);
  • Возможность организации межсайтового скриптинга через загрузку авторами контента специально модифицированных файлов, которые позволяют обойти проверку MIME-типов на системах под управлением http-сервера Apache (WordPress определял MIME-тип по расширению без учёта содержимого, что, например, позволяет загрузить phar-файл в файле с расширением ".jpg" при проведении атак "Phar deserialization").


  1. Главная ссылка к новости (https://wordpress.org/news/201...)
  2. OpenNews: Релиз системы управления web-контентом WordPress 5.0 с новым web-редактором
  3. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
  4. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
  5. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
  6. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, КГБ СССР (?), 11:25, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Это уже вообще. :-)

    Давайте ещё реквизиты кредиток проиндексируем.

     
     
  • 2.6, Аноним (6), 11:48, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • –12 +/
    uBlock в помощь
     
     
  • 3.11, Аноним (11), 12:12, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Ublock в вордпрессе? Да ты силён!
     
  • 2.39, а давайте (?), 17:47, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://ptpb.pw/q3ii.png
     
     
  • 3.40, КГБ СССР (?), 17:55, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага. Вот поэтому надо использовать uMatrix и блокировщики в запретительном режиме (то есть: запрещено всё, что не разрешено явно).
     
  • 3.42, Dmitry77 (ok), 19:07, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сильно!
     

  • 1.2, Гутенберг (?), 11:33, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Зато в 5.0 новый редактор !
     
     
  • 2.12, Аноним (11), 12:12, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вордпресс это интерпрайз!
     

  • 1.3, Аноним (3), 11:34, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Эпично, что тут сказать.
    Web 3.0, суперинновацонномегасовременные решения...
     
  • 1.4, Аноним (4), 11:37, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > Страница активации нового пользователя могла индексироваться поисковыми системами

    Нечего вставлять на страницы активации код Google Analytic и Google Adsence.
    Бот Google теперь очень шустрый и почти сразу пытается индексировать страницы, на которых был вызов рекламы или счётчика Google. Защита простая - никакого внешнего JavaScript-кода на страницах авторизации.

    С этом кстати очень много казусов связано, когда пользователь размещает какой-то приватный текст, думая что если ссылку никому не показывать, никто его не увидит. А потом этот текст всплывает в выдаче Google.

     
     
  • 2.7, Аноним (7), 11:52, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нечего вставлять на страницы активации код Google

    Тогда сайта не будет в выдаче гугла, или он будет, но где-то глубоко внизу спины. Для мелкого бизнеса это может быть очень нежелательно. Поэтому идут на поводу Гугла, ибо деваться некуда. Если гугл скажет "храни у меня БД юзеров с паролями, настройками и историей - получишь 10 мест вверх в выдаче" - будут хранить.

     
     
  • 3.9, Дмитрий (??), 12:06, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Значит в топkу (что за фильтр???) такой бизнес. А если гугл скажет хранить пароли в незашифрованном формате, но поднимет на 100 позиций, так и сделает бизнес?
     
     
  • 4.15, наебизнес (?), 12:20, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    конечно - это ж твои пароли, а не мои.

     
  • 4.16, Аноним (16), 12:20, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    как г... скажет так и сделают. гугл для среднестатистического айтишника - священный грааль сети  
     
  • 4.67, Аноним (67), 12:30, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бизнесу вообще всё равно какие требования ты хочешь увидеть на их сайте. На сертификаты и прочие требования безопасности смотрят единицы пользователей, от таких можно и отказаться они выручку не сделают. Да и они если не найдут лучшего предложения будут покупать у них закрыв глаза на безопасность.
     

  • 1.5, Аноним (6), 11:47, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Привет phar бэкдорам.
     
  • 1.8, Аноним (7), 11:56, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хе-хе... эпично.
    Ждём юных вебдизайнеров, марширующих стройной колонной с лозунгом "а зато мы лепим остойные сайты быстро и много".
     
     
  • 2.26, Антон (??), 13:15, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пока они будут делать долго, дорого и качественно их конкуренты обойдут. Плюс студия потом еще поимеет профит на "починке" сайта или даже чужих сайтов.

    И бизнес не понимает, почему нельзя набрать студентов на похапе и слабать сайтик за 5 тыщ, зойчем платить больше.

     
     
  • 3.32, Аноним (32), 14:16, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ога. а если сайт поломают - можно навешать люлей админу и лишить премии.
     
     
  • 4.33, Аноним (32), 14:17, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в смысле - своему офисному админу.
     
  • 4.37, Криптоинтвестор (?), 16:55, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Галеры и шлюпки не нужны, прыгайте за порт пока не поздно.
     

  • 1.10, Аноним (10), 12:08, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По-моему, это список уязвимостей для приложения версии 0.2.3 или там 0.5.7. Ну ладно, 0.9.4.
    Но вордпресс версии 5, выпускаемый уже много лет.. КААААК?
     
     
  • 2.18, A.Stahl (ok), 12:27, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Проект жив, код меняется, поэтому могут возникать новые ошибки. Что здесь странного?
     
     
  • 3.21, ram_scan (?), 12:42, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Проект жив, код меняется, поэтому могут возникать новые ошибки. Что здесь странного?

    То что проект жив, код  меняется, а грабли все те же и все там-же.

     
     
  • 4.24, A.Stahl (ok), 12:50, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Вовсе нет. Там грабли всегда разные и в разных местах. Не наговаривайте.

     
     
  • 5.53, Аноним (53), 14:07, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не обманывай людей. Эти и подобные ошибки в вордпрессе всплывают ченжлогах уже не первый год. Одни и те же. В разных местах, но одно и то же. Из раза в раз. О чём это говорит? О том, что его разработчики работают на скорость, а о качестве кода им думать некогда.
     
  • 3.25, Аноним (7), 13:05, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Странно то, что код меняется не в лучшую сторону. Впрочем, для php-проектов, особенно wp, это нормально.
     
  • 3.49, th3m3 (ok), 20:59, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Странно то, что кто-то продолжает пользоваться этим в 2018 году.
     
     
  • 4.57, OldFart (?), 17:53, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что лучше?
     
     
  • 5.58, th3m3 (ok), 18:12, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  А что лучше?

    Более современный и адекватный язык, а так же фрамеворк. Никто давно уже не сидит на коробочных CMS и уж тем более на php.

     
     
  • 6.60, OpenEcho (?), 19:51, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Более современный и адекватный язык,

    Ысчо один Цукерберг? - We moving fast, we breaking things...

    Вот все, что было созданно более-менее прилично, имеет очень долгую историю, доказывающие право на жизнь. И чем C-подобный PHP не угодил в плане адекватности ?


    > а так же фрамеворк.

    Ага, выучи язык, а потом выучи нахлобучку на него, где в нем будет херова туча фигни, которая не будет использоваться, тянуть хренову тучу за собой зависимостей и переодически ломать все при переходе с версии на версию...

    > Никто давно уже не сидит на коробочных CMS и уж тем более на php.

    Ну да, мнение опеннетчика значительно выше банальной статистики, открою вам секрет:

    >WordPress controls nearly 60% of the CMS market! What’s even more impressive, is that nearly 30% of all websites run on WordPress.

    Из них четверть миллиона инсталяций в топе первого миллиона самых популярных сайтов...

     
     
  • 7.61, КГБ СССР (?), 22:18, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как только в разговоре на технические темы прозвучало «более современное», то жди неприятностей.
     
     
  • 8.66, Аноним (66), 02:03, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно Поэтому вместо PHP 1995 лучше использовать Erlang 1986 ... текст свёрнут, показать
     
  • 7.62, th3m3 (ok), 22:55, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Миллионы леммингов не могут ошибаться. Угу)
     
     
  • 8.63, OpenEcho (?), 23:51, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    От такого гениального величия , смотрите к психиатору не угодите Так где тот... текст свёрнут, показать
     
     
  • 9.65, Аноним (66), 02:01, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чесотка - контагиозное кожное заболевание Мало ли что там где у них чешется Их... текст свёрнут, показать
     
     
  • 10.70, OpenEcho (?), 12:40, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А кто работать тогда будет Гении на опеннете заняты, им не когда, надо советы у... текст свёрнут, показать
     
  • 2.19, Аноним (19), 12:30, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    изменилась методика обнаружения уязвимостей.
     
     
  • 3.73, Аноним (73), 11:54, 17/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Главное, что ВВП все страны считают по-старому. Чтобы не путать людей.
     
  • 2.27, Борщдрайвен бигдата (?), 13:18, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Initial release: 2003

    Итого, уже пятнадцать лет проект живет без юнит-тестов, без статической проверки анализаторами кода, и так далее, и тому подобное.

    Это уж точно не норма.

     
  • 2.48, th3m3 (ok), 20:58, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как тут писали любители обмазываться всяким там php-УГ - якобы Wordpress пилят профи. Вот они и родили для этого чуда говонокодинга, очередную эпичную проблему. И да, они сейчас скажут, что это нормально) Они уже привыкли, им не привыкать.
     

  • 1.13, Ilya Indigo (ok), 12:18, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я в шоке...
    И большинство вэб-студий продолжают его использовать невзирая ни на что...
    И почти всех клиентов этих студий это устраивает...
     
     
  • 2.14, Дмитрий (??), 12:19, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дак им всё равно, сайт сделали - деньгу получили, всё, иди гуляй, так работают многие :)
     
  • 2.17, уепстудия (?), 12:21, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    потому что все остальное еще хуже, что тебя удивляет?

    если в твоем языке нельзя исполнить какой-нибудь интересный код, просто при попытке проверить, существует ли на диске файл .jpg, ты жалкий неудачник, твой сайт никто не купит.

     

  • 1.20, Аноним (20), 12:33, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Будь я автором такого проекта, я бы давно выкинул комп и пошел работать сантехником. Это же позорище, каждый  месяц новые критические баги. И кто-то у меня будет спрашивать, почему я ругаю похапе?
     
     
  • 2.29, Аноним (29), 13:47, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага, пусть на Си перепишут
     
  • 2.34, blblblblbl (?), 14:55, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    o5-25, причём тут похапе и толпа долбоящеров?
    Я знаю питонщиков "с многолетним опытом разработки", которые, сцуко в 2018 году хранят пароли в открытом виде, наверное потому, что питон плохой и нормальное хеширование там сложно сделать.
     
     
  • 3.71, Qwerty (??), 14:02, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >o5-25

    Тебе ли говорить о долбоящерах?

     
  • 2.35, пох (?), 15:48, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Стоять, гад, куда собрался!? Это тебе не программирование, этим только специально обученные люди должны заниматься!

    Если такими руками будут в сантехнику - нас дерьмовым цунами смоет к хренам. Пусть от компьютера вообще лучше не отходят, меньше масштаб катаклизма.

    > И кто-то у меня будет спрашивать, почему я ругаю похапе?

    пароли проиндексировал ни разу не похапе.


      

     
     
  • 3.41, Аноним (41), 17:56, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    сантех для тех, кто хочет вести "половую" жизнь, сравнение - нарабатывание геммороя и аутизма на программировании против слив на голову, штроб, пайка, и чугунные 10-ки для надрыва мышц
     
  • 3.68, Аноним (67), 12:35, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Анекдот в тему.
    Пошел парень в ученики к сантехнику. Наставник взял его с собой
    канализацию прочищать. Видят они - люк доверху дерьмом наполнен.
    Сантехник говорит парню:
    - Ты здесь сиди и подавай мне инструменты.
    А сам нырнул в люк. Через минуту выныривает:
    - Давай ключ на 15!
    И опять нырнул.
    Вскоре дерьмо из люка ушло, вылезает довольный сантехник и говорит парню:
    - Вот видишь, учись, а то всю жизнь так и будешь ключи подавать!
     
     
  • 4.72, Аноним (41), 21:33, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    лучше вызов на порыв, чем по приказу или нужде отдуваться за кодошлёпов)


     
  • 2.50, th3m3 (ok), 21:02, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как это обычно бывает, Wordpress наговнокодили по быстрому, а он вдруг выстрелил. Нет бы переписать всё на что-то более адекватное, с нормальной архитектурой, нормальным языком и т.д. Но нет, они выбрали обмазываться этим и дальше. А пользователей, даже не жалко, они сами сделали выбор.
     
     
  • 3.59, OpenEcho (?), 19:34, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Нет бы переписать всё на что-то более адекватное, с нормальной архитектурой, нормальным языком и т.д.

    Вы cлучайно не политик ? Можно конкретики?  адекват, архитектура и "нормальный" язык - говорит ни о чем, а создавать что то на "ни о чем" - попахивает авантурой

     

  • 1.22, pda (?), 12:44, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Инновационно. Ссылка "забыл пароль" ведёт на google "<my@email>" site:<wordpress.sitename>.
     
     
  • 2.52, аноним3 (?), 23:18, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И блоба не надо. Сами отдают. Юзвери такие милые, вот только что на опеннете делают?)
     
     
  • 3.74, Аноним (73), 18:25, 17/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Высказывают своё ценное мнение.
    Тут из реальных специалистов полтора человека,
    да и те приходят за тонким трололо,
    остальные юзеры и есть.
     

  • 1.28, elimelech (ok), 13:44, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    вот подождите новая Джумла вам покажет! :))))
     
  • 1.30, Аноним (30), 13:59, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пока Вы тут охайте какой же небезопасный инструмент этот вордпрес, компании кучу бабла уже с него поимели.
     
     
  • 2.54, Аноним (53), 14:11, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне тебя жаль, если бабло для тебя — главное мерило успеха.
     
     
  • 3.64, OpenEcho (?), 00:14, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Мне тебя жаль, если бабло для тебя — главное мерило успеха.

    А че? В магазинах теперь можно за лозунги, веру и моральное удовлетворение что то купить ?
    Вам бы лет на 40-80 назад вернуться и на БАМ к Павке Корчагину...
    Вы стариков поспрашивайте, - много им к концу жизни перепало за их духовное богатство

     
  • 3.75, Аноним (73), 18:28, 17/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "Мне тебя жаль" это такая форма унижения людей разными мyдаками в Интернете. Ты даже не толстый, а длинный как лента Мёбиуса.
     

  • 1.45, Онаним (?), 20:27, 14/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Индексация паролей? Это как? Не, какой радиус кривизны должен быть у рук, чтобы такое состряпать.
     
     
  • 2.47, Криптоинтвестор (?), 20:53, 14/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На DSL Ruby такое трудно запилить...
     
     
  • 3.55, Аноним (53), 14:18, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не обманывай. Достаточно на страницу восстановления пароля (со сгенерированным новым полем) поставить счётчик гугла/яндекса/байду. robots.txt всё равно ж никто не настаивает (а бинговый бот часто его игнорирует).
     
     
  • 4.76, Drew (??), 02:26, 06/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Млять.
    Ну что мешает на предыдущей странице отдавать клиенту куку, а на этой -- эту куку проверять?! И если куки нет -- отдавать стаб, а не страницу?
    Это что, вершина Web-технологий?
     

  • 1.56, OldMonster (ok), 15:03, 15/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    индексация паролей....
    Хорошая новость, спасибо, поржал!
     
  • 1.69, Аноним (67), 12:38, 16/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Теперь проще пароли будет искать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру