Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT В популярном плагине для WordPress закрыта серьёзная уязвимость RSS

В популярном плагине для WordPress закрыта серьёзная уязвимость

Текущий рейтинг: 5 (проголосовало 4)
 Посетителей: 369 | Просмотров: 395 (сегодня 0)  Шрифт: - +

Владельцы сайтов на системе управления контентом WordPress с популярным плагином All in One SEO Pack должны как можно скорее установить обновление. Выпущенная в пятницу версия плагина закрывает уязвимость, способную давать доступ к учётным записям администраторов сайтов. Плагин предлагает оптимизации, призванные увеличить видимость сайта в поисковых системах. Статистика говорит о более чем миллионе активных установок All in One SEO Pack.

Уязвимость находится в функции Bot Blocker и может быть задействована дистанционно отправкой запроса HTTP со специально подобранными заголовками. Функция Bot Blocker обнаруживает и блокирует спам-ботов на основе значений заголовков user agent и referer, о чём рассказал нашедший уязвимость исследователь Давид Ваарджес.

Если активна настройка Track Blocked Bots (по умолчанию отключена), плагин записывает все заблокированные запросы и отображает их на странице HTML в панели администратора сайта. Поскольку плагин не может надлежащим образом обработать запросы перед их отображением, хакеры получают возможность внедрить вредоносный код на JavaScript в заголовки запросов, который станет частью страницы HTML.

Это открывает доступ атакам межсайтового скриптинга, когда код может выполняться при каждом просмотре этой страницы. Так как речь идёт об администраторах, злоумышленники могут украсть метки (session tokens). Эти метки представляют собой хранящиеся внутри браузера значения, которые позволяют сайту узнавать зашедшего в учётную запись пользователя. Поместив эти метки в свои браузеры, атакующие могут зайти на сайт под видом его администратора.

Компания Semper Fi Web Design выпустила версию All in One SEO Pack 2.3.7, где уязвимость закрыта.

Автор: Алексей Алтухов  •  Иcточник: pcworld.com  •  Опубликована: 12.07.2016
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.