«Штатным хакером Интернет партии Украины Dementor’ом была обнаружена активная XSS в популярном движке Wordpress, который сейчас очень активно используется на многих веб сайтах. Уязвимость присутствует из-за недостаточной фильтрации входящих данных. Проверенные версии WordPress: 3.5 и 3.5.1 (возможно есть и на более ранних), проверенные браузеры: Opera и Google Chrome.», — заявил лидер Интернет партии Украины Дмитрий Голубов. «Чтобы воспользоваться выше упомянутой уязвимостью нужно иметь права редактора или администратора, то есть права на размещение/редактирование новостей. При размещении в тело сообщения JavaScript кода: ';alert(String.fromCharCode(88, 83, 83))//';alert(String.fromCharCode(88, 83, 83))//«; alert(String.fromCharCode(88, 83, 83))//«;alert(String.fromCharCode(88, 83, 83))//-- </SCRIPT>«>'><SCRIPT>alert(String.fromCharCode(88, 83, 83))</SCRIPT> после чего и срабатывает уязвимость. Таким образом мы видим, что злоумышленник может получить возможность атаковать всех пользователей, которые просто зайдут почитать размещённую новость или статью. При определенных манипуляциях с кодом можно также заразить массу посетителей сайта вирусом, перенаправляя их на вредоносный сайт. Интернет партия Украины постоянно проводит проверки различного рода ресурсов сегмента UA-IX, результаты проверок выявили очень много уязвимостей в правительственной зоне gov.ua» — подытожил Дмитрий Голубов. P.S. На момент опубликования этой новости, нами были уведомлены разработчики WordPress!
|