Уязвимость в WordPress 5.0 и в более ранних версиях

Тема в разделе "Wordpress", создана пользователем pasha-b, 17 дек 2018.

  1. pasha-b

    pasha-b

    Регистрация:
    9 янв 2013
    Сообщения:
    190
    Симпатии:
    109
    Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей. Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.

    Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла.

     
    iga, Baco и $iD нравится это.