Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10337
  комментариев: 2803

В WordPress 3.x выявлена уязвимость, позволяющая подставить JavaScript-код через комментарий


Все сайты, основанные на системе управления контентом WordPress 3.x и допускающие размещение комментариев к публикациям, подвержены опасной уязвимости, позволяющей атакующему разместить специально оформленный комментарий, при просмотре которого будет выполнен JavaScript-код злоумышленника. Для демонстрации опасности выявленной проблемы была подготовлена атака, позволившая незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий, и использования перехваченной информации для создания новой привилегированной учётной записи и использования редактора плагинов для организации выполнения PHP-кода на сервере.

Недавно представленный выпуск WordPress 4.0 проблеме не подвержен, но разработчики выпустили корректирующий выпуск WordPress 4.0.1, в который интегрированы некоторые дополнительные механизмы защиты. На данный выпуск рекомендовано срочно перейти всем пользователям ветки WordPress 3.x, поддержка которой прекращена. Для тех, кто не может срочно мигрировать на ветку 4.0, подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5. По приблизительной оценке эта проблема присутствует на 86 процентах сайтов, построенных с использованием WordPress.


Источник: opennet.ru

  25 ноября 2014 616
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 4 и 16*:            


Хостеры (2430)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 25 и 4*:


Яндекс цитирования
сообщить о неточности