Новая уязвимость в WordPress

Тема в разделе "IT Новости", создана пользователем soulg24, 9 апр 2015.

  1. soulg24

    soulg24

    Регистрация:
    30 мар 2015
    Сообщения:
    7
    Симпатии:
    3
    В плагинах WordPress обнаружена ещё одна критическая уязвимость, которую злоумышленники могут очень быстро эксплуатировать в крупном масштабе, используя известные инструкции.

    На этот раз «провинился» плагин WP-Super-Cache, который генерирует статические HTML-файлы из динамических блогов на платформе WordPress.

    В плагине обнаружена стойкая уязвимость к межсайтовому скриптингу (XSS). Она позволяет атакующей стороне внедрить вредоносный код в HTML-страницы, что создаются с помощью этого расширения.

    [​IMG]

    Как видно из опубликованного кода, проблема в том, что плагин присоединяет к содержимому страницы значение переменной $details[ ‘key’ ] без предварительной фильтрации на предмет секретной информации.

    [​IMG]

    Таким образом, можно использовать функцию get_wp_cache_key() для внедрения постороннего скрипта в веб-страницу.

    Эксплуатация бага осуществляется очень просто, а уровень опасности — высокий, 8 из 10 баллов по шкале опасности, считают специалисты Sucuri, которые обнаружили уязвимость и описали её в своём блоге.

    Всем пострадавшим настоятельно рекомендуется установить новую версию плагина 1.4.4, где баг исправили.
    --- Добавлено, 9 апр 2015 ---
    :wavespin:
     
    halfhope и $iD нравится это.
  2. SolarKD

    SolarKD

    Регистрация:
    27 апр 2015
    Сообщения:
    6
    Симпатии:
    0
    М-да, в неспокойное время живем. Кредит доверия к плагину существенно пошатнулся.
     
  3. soulg24

    soulg24

    Регистрация:
    30 мар 2015
    Сообщения:
    7
    Симпатии:
    3
    Главное что бы народ обновить плагин успел или отключить его.
     
  4. Jora05

    Jora05

    Регистрация:
    13 май 2013
    Сообщения:
    1
    Симпатии:
    0
    Что-то у вордпресса одни уязвимости
     
  5. soulg24

    soulg24

    Регистрация:
    30 мар 2015
    Сообщения:
    7
    Симпатии:
    3
    в джумле по больше будет
     
  6. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    примеры пожалуйста. в чистой джумле без плагинов. Или выстрел в небо?
     
  7. soulg24

    soulg24

    Регистрация:
    30 мар 2015
    Сообщения:
    7
    Симпатии:
    3
    согласен в чистой cms уязвимостей находят гораздо меньше, в основном уязвимости находят в модулях. А если вам нужны конкретные цифры, то примерно 1125 уязвимостей найдено в joomla против 880 в wordpress,
     
  8. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    в этом то и дело) виновата не джумла) виноваты разрабы дополнений, а тут говорилось про дыру в WP стандартной поставки.
     
  9. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    2.050
    Симпатии:
    777
    WP Super Cache теперь изначально установлен?
     
  10. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    ладно, ладно.. я тоже поспешил с выводами :smile: другая, по-моему, уязвимость была в вп непосредтсвенно.

    но, если что, код wp (как разрабу на пхп) не нравится чуть больше, чем полностью
     
  11. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    2.050
    Симпатии:
    777
    Тут я абсолютно согласен. Чего стоит одна только матрёшка с loop :Smile: И не знаю как сейчас, но ещё пару лет назад там было огромное наследие функционального стиля со скромными вкраплениями ООП.
     
  12. wallstreet

    wallstreet

    Регистрация:
    26 янв 2013
    Сообщения:
    1
    Симпатии:
    0
    Неожиданно, но вовремя. Буду обновлять.
     
  13. LukaSolncev

    LukaSolncev

    Регистрация:
    30 сен 2015
    Сообщения:
    2
    Симпатии:
    0
    Уже не актуально?
     
  14. Artyomka

    Artyomka

    Регистрация:
    13 дек 2015
    Сообщения:
    5
    Симпатии:
    0
    присоединяюсь к последнему оратору. актуально ли?))
     
  15. Андрей111

    Андрей111

    Регистрация:
    8 фев 2016
    Сообщения:
    7
    Симпатии:
    0
    Народ подскажите - актуальная инфа?
     
  16. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    2.050
    Симпатии:
    777
    Что за идиотские вопросы? Написано же:
    Если у вас версия плагина такая или новее - значит для вас это уже не актуально, иначе - актуально.