The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

14.02.2019 10:39  Критическая уязвимость в WordPress-плагине "Simple Social Buttons"

В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).

Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.



  1. Главная ссылка к новости (https://www.webarxsecurity.com...)
  2. OpenNews: В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками
  3. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  4. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  5. OpenNews: Доля WordPress среди крупнейших сайтов достигла 30%
  6. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
Лицензия: CC-BY
Тип: Программы
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (2), 10:52, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Да, выглядит именно как "уязвимость", а не бэкдор.
    Полон опасностей personal-home-page-мирок.
     
     
  • 2.16, Аноним (16), 11:59, 14/02/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Flat File CMS не такой!!!
     
  • 2.61, IRASoldier (?), 06:13, 15/02/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Обожаю фанатов "свободного" софта. Они везде видят бэкдоры и заговоры. А ведь казалось бы, надо радоваться, что независимый анализ кода сотнями _хомячков_ энтузиастов позволяет находить баги...
     
     
  • 3.62, Онаним (?), 09:10, 15/02/2019 [^] [ответить]    [к модератору]
  • +/
    В случае вордпреса и жумлы - это независимое написание кода сотнями _хомячков_. Ни о каком анализе там давно уже и речи не идёт.
     
     
  • 4.68, IRASoldier (?), 18:29, 15/02/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Всё-таки кто-то баги по безопасности находит, информирует об этом комьюнити и даже пилит патчи. На самом деле таким товарищам респект. Но популярные CMS в плане качества кода - адЪ и скрежет зубовный...
     
  • 1.3, Аноним (3), 11:05, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Вот тебе и "Simple"
     
  • 1.4, Онаним (?), 11:08, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Вот что бывает, когда не проверяешь входные данные с клиента.
     
     
  • 2.25, Аноним (25), 12:07, 14/02/2019 [^] [ответить]    [к модератору]  
  • +8 +/
    Вот что бывает когда плагины:
    * Не изолированны.
    * Исполняются с привилегиями основного кода.
    * Имеют доступ к базам данных.
    * Могут произвольно загружать внешний код.
    Такая система в принципе не может быть безопасной.
     
     
  • 3.32, Аноним (32), 14:16, 14/02/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    В рамках какой cms на php эта проблема плагинов решена?
    Где, вообще, эта проблема решена?
     
  • 3.33, Crazy Alex (ok), 14:18, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Зато может быть достаточно гибкой и не сильно прожорливой
     
     
  • 4.47, Аноним (25), 15:39, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    >позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress

    #гибкость #agile #runfastbreakthings

     
     
  • 5.57, annual slayer (?), 23:38, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    нет пулично доступной информации, что эти инвалиды используют agile

    но я тебе подыграю:
    а как waterfall бы это предотвратил?

     
  • 3.60, пох (?), 23:47, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    погоди, а нафига мне плагин - изолированный, не имеющий доступ к базе, с урезанными привиллегиям? (ну хрен с ним с внешним кодом, хотя вообще-то вон сам вротпресс ты небось тоже откуда-то загрузил, не лично побайтно набрал?)
    он чего в результате делать-то сможет?

    См прекрасную историю гуглоулучшаек, нечаянно (или не совсем?) победивших ubo. Зато безопастно!


     
  • 1.5, Аноним (5), 11:20, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кривые плагины с административными правами разрушат любую систему. Спасение от этого CMS-хаоса - минимализм. Например, WonderCMS.
     
     
  • 2.8, Аноним (25), 11:44, 14/02/2019 [^] [ответить]    [к модератору]  
  • +24 +/
    > Спасение от этого CMS-хаоса

    WEBанутым нет покоя.

    Домашнюю страницу? Обфзательно на WordPress! Даже если сайтик на 100% статический и обновляется раз в год. Не забываем установить 10 самых популярных плагинов!

    Картинки для сайтика? Обрезаем обязательно в PhotoShop последней версии ПроЭлитЛимитедЭдишон

    Хостимся? Обязательно в GoogleAzureAmazon cloud в контейнерах на кубеннетесе. Не менее чем в  5 инстансах сразу. Никто не знает выдержит ли ВордПресс наплыв десяти пользователей сразу!



     
     
  • 3.27, Аноним (27), 13:04, 14/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    this а мое решение просто - нифих такие гогносайты Их делают люди, не способные... весь текст скрыт [показать]
     
     
  • 4.29, Аноним (29), 13:21, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Интернет-форматы уродливы сами по себе Напр ты решил поделиться информацией о ... весь текст скрыт [показать]
     
     
  • 5.31, жека воробьев (?), 14:09, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    >Выбор большинства - бездействие. И я их понимаю.

    вы пропустили появление социальных сетей (одноклассники, фб, вк, инстаграм)?

     
     
  • 6.34, Попугай Кеша (?), 14:21, 14/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    А чем это лучше Вот приехали вы из путешествия, были на островах или в горах У... весь текст скрыт [показать]
     
     
  • 7.35, Аноним (35), 14:31, 14/02/2019 [^] [ответить]     [к модератору]  
  • +4 +/
    Обычно приехал и сразу забыл, фотки так на фотике и остались Максимум скнинул н... весь текст скрыт [показать]
     
     
  • 8.36, Попугай Кеша (?), 14:33, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    При наличии прямых рук, желания и хорошего настроения - я бы назвал это другим словом. Но если вы любите шарашиться - ничего не имею против )
     
  • 8.39, Аноним (5), 14:47, 14/02/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Не пробовали вариант - не снимать в поездках совсем Пару последних раз испытал ... весь текст скрыт [показать]
     
     
  • 9.42, Аноним (29), 15:17, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Пробовал События со временем забываются Особенно это касается экскурсионных по... весь текст скрыт [показать]
     
     
  • 10.45, Аноним (45), 15:29, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Ценность качества фотографий для указанной вами цели как раз около нуля, ценны в... весь текст скрыт [показать]
     
     
  • 11.46, Аноним (29), 15:34, 14/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Кому как Обратил внимание, что посещая одни и те же места я делаю фотоснимки ... весь текст скрыт [показать]
     
     
  • 12.48, Попугай Кеша (?), 15:47, 14/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Чет у вас проблемы какие психологические. Но не мне судить, конечно. Сейчас зима, солнца мало. Вы это, витаминчики какие что ли )
     
  • 7.41, Гентушник (ok), 15:15, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > Делиться в соцсетях? Это как метать бисер перед свиньями.

    Ну так свинья и метают бисер перед другими свиньями. Вы же сами говорите про "большинство".

     
  • 6.43, имя (?), 15:23, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    это те сайты, где загруженные данные тебе уже не принадлежат и компании могут ра... весь текст скрыт [показать]
     
     
  • 7.55, пох (?), 23:14, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > не индексируются поисковиками и в Архиве Интернета не сохраняются

    это хорошо. а то во-первых, жалко мощностей и так дохнущего архива, во-вторых, архив индексируется гуглем, и можно нечаянно перейти по ссылке. Представьте что будет, если он таки будет содержать всю канализацию из вконтактика-хипстаграмчика-мордокниги - вы ж это развидеть ни за какие деньги уже не сможете.

     
  • 2.21, Аноним (21), 12:05, 14/02/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    Спасение только статическая генерация и всё. Других выходов не существует.
     
     
  • 3.40, Аноним (5), 14:49, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Для статической генерации как раз предназначены простые CMS, одна из которых была упомянута. Безо всяких скриптов и с плоскими файловыми БД. Совсем неплохо.
     
  • 3.44, Гентушник (ok), 15:23, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Я помню как извращался с говносайтом одной маленькой компании - наклепал его на ... весь текст скрыт [показать]
     
     
  • 4.49, Аноним (49), 17:29, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Занимался такой же фигней. Давай обнимемся.
     
  • 2.52, vitalif (ok), 19:22, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Например, статический HTML!
     
  • 1.6, Dmitry77 (ok), 11:33, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Сейчас уже для вордпреса есть плагины для Fediverse (децентрализованых и опенсорсных социальных сетей). Остальное - проприетарщина
     
     
  • 2.7, Аноним (25), 11:36, 14/02/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    >децентрализованых и опенсорсных социальных сетей

    А зачем мне децентрализованное и опенсорснное "ненужно"?

     
     
  • 3.10, Аноним (25), 11:48, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Просто, если в реале показывать всем свой "глубокий внутренний мир" то побьют.
     
     
  • 4.37, Попугай Кеша (?), 14:34, 14/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    На то он и внутренний, что показывать не надо ) Он уже внешним становится
     
     
  • 5.50, Аноним (49), 17:30, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    А вдруг у тебя там криптомайнер?
     
  • 5.51, Dmitry77 (ok), 19:17, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Fediverse - это возможность держать внутрений мир внутри а внешний снаружи.
    а у пользователей проприетарных соцсетей всё снаружи.
     
  • 1.20, Аноним (21), 12:04, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Уязвимость на самом деле называется wordpress.
     
     
  • 2.23, Аноним (16), 12:06, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    В контексте PHP и комьюнити WP, да.
     
     
  • 3.58, пох (?), 23:39, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    у меня тут есть прекрасный сайт на джанге. К сожалению, бизнес-критикал. Изготовителя замуровали в подвале еще позапрошлого офиса (так ему и надо), поэтому даже промышленная некромантия не поможет - при смене площадки необратимо рвутся астральные связи.

    прекрасное пихоноподелие раз в день ловит sigsegv (причем без всяких гарантий что вот прямо с завтрашнего дня не начнет его ловить раз в секунду, например - совершенно неизвестно ведь, почему).

    Знаете что? Лучше бы это гуано было на php - я, вероятно, хотя бы смог бы локализовать проблему.
    Не говоря уже о том, что у нас разработчиков на ем цельный отдел.

     
     
  • 4.69, Аноним2 (?), 00:01, 16/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Целый отдел гуано? :scream:
     
     
  • 5.70, пох (?), 20:29, 16/02/2019 [^] [ответить]    [к модератору]  
  • +/
    понимаешь, вот они ни разу ко мне не приходили с проблемой "у нас непойми от чего в самом интерпретаторе случается sigsegv". Более того, на одной из прошлых работ, где было гораздо страшнее - четыре несовместимых версии php и прорва очень стремных модулей собранных методом pecl дай-г.на под хайлоадом - тоже не случалось (не приходить не могли, там я точно был бы в курсе)

    ну так и спрашивается, какая среда большее гуано - страшный и отвратительный пехепе, или прекрасный модный пихон с жангой?

     
  • 1.28, Аноне (?), 13:21, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Да причем тут пыхп, если с полпинка и в продакшен штампуют сайты. Я изза этого не иду в отрасль вебдева, что клиенту еще нужно донести, почему качественное предложение по цене и срокам больше чем у большинства.
     
     
  • 2.38, Попугай Кеша (?), 14:35, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    В корпорейт-секторе все понятнее. Вот лопата, вот навоз. Берешь и копаешь. Пусть и веб, зато зарплата хорошая.
     
     
  • 3.59, пох (?), 23:42, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    с навозом все нормально - липнет и воняет. Но лопату выдали не совковую, и даже не снегоуборочную, а детскую для песочницы. В результате ты в навозе, все в навозе, вонь страшенная, а таск так и не продвинулся к закрытию.

    зарплата, кстати, может включать kpi, который окажется недовыполненным, поскольку измеряется в тоннах перекопанного навоза.

    типикал корпорейт сектор, нонеча.

     
  • 2.54, Аноним (54), 22:42, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Критерий качества кто определяет? Независимый аудит? Или "мамой клянус!"?
     
     
  • 3.65, Аноне (?), 09:28, 15/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Хотя бы наличие тестеров, не говоря действительно уж об аудите. И не штамповка мышкой из готовых чужих компонентов. А это все повышает цену и сроки
     
  • 1.30, arisu (ok), 13:49, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    да нормально всё, какие проблемы? социализация же: вот пусть социум сайтами и рулит.
     
  • 1.66, InuYasha (?), 11:14, 15/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Потому что сосальные кнопки - это плохо и не нужно.
     
  • 1.67, ОнанВарвар (?), 11:15, 15/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Никогда такого не было, и вот опять.
    В пустыне внезапно обнаружен песок! - Вот это поворот!
    --
    Давно известно что качество дополнений ниже плинтуса...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor