стикон1пк

Алексей Шевченко / 28 мая 2013, 17:46

Хакеры Интернет партии Украины обнаружили 0day уязвимость в популярном двигателе Wordpress



«Штатным хакером Интернет партии Украины Dementor’ом была обнаружена активная XSS в популярном движке Wordpress, который сейчас очень активно используется на многих веб сайтах.

Уязвимость присутствует из-за недостаточной фильтрации входящих данных. Проверенные версии WordPress: 3.5 и 3.5.1 (возможно есть и на более ранних), проверенные браузеры: Opera и Google Chrome.», — заявил лидер Интернет партии Украины Дмитрий Голубов.

«Чтобы воспользоваться выше упомянутой уязвимостью нужно иметь права редактора или администратора, то есть права на размещение/редактирование новостей. При размещении в тело сообщения JavaScript кода:

';alert(String.fromCharCode(88, 83, 83))//';alert(String.fromCharCode(88, 83, 83))//«;

alert(String.fromCharCode(88, 83, 83))//«;alert(String.fromCharCode(88, 83, 83))//--

</SCRIPT>«>'><SCRIPT>alert(String.fromCharCode(88, 83, 83))</SCRIPT>

после чего и срабатывает уязвимость.

Таким образом мы видим, что злоумышленник может получить возможность атаковать всех пользователей, которые просто зайдут почитать размещённую новость или статью. При определенных манипуляциях с кодом можно также заразить массу посетителей сайта вирусом, перенаправляя их на вредоносный сайт.

Интернет партия Украины постоянно проводит проверки различного рода ресурсов сегмента UA-IX, результаты проверок выявили очень много уязвимостей в правительственной зоне gov.ua» — подытожил Дмитрий Голубов.

P.S. На момент опубликования этой новости, нами были уведомлены разработчики WordPress!

 

Пост розміщений стороннім користувачем нашого сайту. Думка редакції може не збігатися з думкою користувача



Title"Чтобы воспользоваться выше упомянутой уязвимостью нужно иметь права редактора или администратора" - Ну это успокаивает...

Но вы не туда написали! Пишите на WordPress Codex
класс
id страницы
TitleИ туда написали) Там спасибо сказали)
класс
id страницы
TitleНу тогда будем ждать обновления версии)
А вообще подобного можно избежать настроив соответствующим образом апач, а также используя, например mod_security. Также можно поставить еще разные проверки контента и перенаправления. Сервер наше все. )
класс
id страницы
   Правила общения на сайте.   Забаненные

Посты посетителей:
О забвении
9 мая 2020 0 комментарів  
В країні перестають працювати запобіжники

Мені дуже не подобається те, що відбувається зараз у країні. Наразі найбільш турбує те, що перестають працювати запобіжники.

20 июля 2019 0 комментарів  
В країні перестають працювати запобіжники
20 июля 2019 0 комментарів  
Проект велосипедной инфраструктуры г. Одессы (предварительный, ознакомительный вариант)   
2 декабря 2014 46 комментарів  
Как мы с Николь грудью отечественного производителя поддержали
28 ноября 2014 0 комментарів  
В Одессе, в Малиновском районе (Черемушки), 29.01.2014года, утерян кошелек с документами

В Одессе, в Малиновском районе (Черемушки), 29.01.2014года, утерян кошелек с документами

29 января 2014 10 комментарів  
Погибшие милиционеры!

  В Херсоне скончался милиционер, раненый в стычке с радикалами

 
28 января 2014 0 комментарів  
«Титушки» разгромили одесскую мэрию изнутри (фото)
28 января 2014 1 комментар  
Одесское Метро собирает продуктовые пакеты для майдана

Знакомые только что приехали из Метро и рассказали интереснейшую новость. По команде своих австрийских хозяев Метро собирает продуктовые пакеты для майдана.

 
26 января 2014 6 комментарів  
Украинский старпом исчез с балкера Ocean Lion при странных обстоятельствах, Новый Орлеан

Украинский старпом исчез с балкера Ocean Lion при странных обстоятельствах, Новый Орлеан

 
21 января 2014 2 комментаря  





Думська в Viber


Одрекс
Ми використовуємо cookies    Ok    ×