События

В ветке WordPress 5.0 исправлены семь уязвимостей

Спустя всего неделю поле выхода первого за последнее время масштабного обновления для WordPress разработчики выпустили патчи для уязвимостей. Самая серьезная из них позволяла получить полный контроль над чужим сайтом.

В четверг, 13 декабря, вышла в свет версия WordPress 5.0.1, в которой было исправлено семь уязвимостей. Как пишет ZDNet, одну из наиболее опасных обнаружили создатели популярного плагина Yoast SEO. По их словам, в некоторых случаях экран активации для новых пользователей индексировался поисковиком Google.

С помощью специального запроса атакующий мог найти экран активации через поисковую систему и получить электронные адреса, а в редких случаях даже автоматически сгенерированные пароли. Если у пользователя, чей адрес оказался в руках у злоумышленника, есть права администратора, или пользователь не сменил пароль по умолчанию, это могло привести к катастрофическим последствиям.

В WordPress 5.0.1 также появился механизм проверки MIME для загружаемых файлов. В предыдущих версиях загружаемые файлы не проходили проверку MIME, поэтому файлы можно было загружать, даже если их контент не соответствовал расширению. То есть, злоумышленник спокойно мог загрузить двоичный файл с расширением .jpeg.

Еще одна уязвимость позволяла пользователям сайтов на базе WordPress редактировать новые комментарии пользователей с более высокими привилегиями. При определенных условиях это позволяло осуществить межсайтовый скриптинг.

Источник

Автор: Сергей Куприянов
13.12.2018 (16:16)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.