Уязвимость wordpress

Тема в разделе "IT Новости", создана пользователем $iD, 28 апр 2015.

  1. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.581
    Симпатии:
    1.482
    Wordpress опубликовал обновление WordPress 4.2.1.
    Это критически важное обновление и всем пользователям популярной CMS Worpress рекомендуется обновиться.
    Несколько часов назад команда получила информацию о XSS уязвимости, которая может быть использована злоумышленником, если на сайте включена возможность комментирования записей блога.
    Уязвимость была обнаружена Jouko Pynnönen.

    Уязвимость связана с тем, что если комментарий превысит стандартные для MySQL TEXT 64КБ, то будет будет усечен при внесении в базу данных.
    Атакующий может оставить комментарий размером в 64KB, который попадает базу данных без проверок и может быть доступен читателям блога. Таким образом, если атакующий внедрит в такой комментарий JavaScript код, то он будет исполнен в браузере пользователя. В частности, если комментарий будет просмотрен администратором сайта, то злоумышленник может сменить пароль, создать новый аккаунт, загрузить файлы от имени администратора.

    Видео-демонстрация уязвимости:
     
  2. rasdotsu

    rasdotsu

    Регистрация:
    2 мар 2015
    Сообщения:
    7
    Симпатии:
    3
    Сегодня уже многим обновляли из-за этого. Уже пользуют "негодяи" уязвимость. Так что рекомендуем обновляться и не откладывать в долгий ящик.