Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT WordPress в версии 4.2.1 закрывает очередную критическую уязвимость RSS

WordPress в версии 4.2.1 закрывает очередную критическую уязвимость

Текущий рейтинг: 5 (проголосовало 5)
 Посетителей: 971 | Просмотров: 1108 (сегодня 0)  Шрифт: - +

Система управления контентом WordPress за неделю закрывает вторую критическую уязвимость, и администраторам рекомендовано обновиться до версии 4.2.1. Веб-сайты с плагином Background Update Tester установят обновление автоматически.

Любая уязвимость WordPress опасна за счёт популярности данной платформы. По собственной статистике, WordPress лежит в основе 23% веб-сайтов глобальной сети. Уязвимость нашёл сотрудник финской компании Klikki Oy и относится она к межсайтовому скриптингу при внедрении в комментарии вредоносного кода на JavaScript. Скрипт активируется при просмотре комментариев пользователями.

*

Если администратор сайта находится в системе при просмотре вредоносного комментария, злоумышленник может выполнить произвольный код на сервере через плагин и редакторы тем. Далее можно поменять пароль администратора, создать новые аккаунты администраторов и редактировать содержимое сайта. Эта же финская компания нашла другую уязвимость в ноябре прошлого года.

21 апреля была закрыта похожая уязвимость WordPress. Тогда межсайтовый скриптинг был возможен через комментарии, задействуя базу данных MySQL. Исследователь Седрик Ван Бокхавен написал код для добавления нового пользователя в список администраторов. Также уязвимость позволяла скачать плагин, который запускал на сервере вредоносный код.

Автор: Алексей Алтухов  •  Иcточник: pcworld.com  •  Опубликована: 28.04.2015
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
29.04.2015/16:51  Wordpress-go

wordpress-go постоянно обновляет движок сайта. В последнее время обновления для платформы выходят с интервалом раз в месяц
Комментарии отключены. С вопросами по статьям обращайтесь в форум.