Показано с 1 по 1 из 1.

Опасная уязвимость с годовым стажем до сих пор угрожает WordPress

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296

    Опасная уязвимость с годовым стажем до сих пор угрожает WordPress

    Серьезная уязвимость движка WordPress, которая оставалась непропатченной целый год, угрожает бесчисленным сайтам, которые работают на этой CMS. Об этом сообщил исследователь в области безопасности Сэм Томас из компании Secarma.

    О наличии такой серьезной бреши Томас сообщил в ходе конференции BSides, посвященной кибербезопасности.

    Специалист заявил, что злоумышленники используют PHP-фреймворк WordPress, что может привести к полной компрометации системы.

    В случае если на домене разрешена загрузка файлов, атакующий может загрузить файл миниатюры для запуска действий с этим файлов посредством «phar://». А эксплойт, в свою очередь, использует недостатки eXternal Entity (XXE — XML) и Server Side Request Forgery (SSRF), которые вызывают десериализацию в коде платформы.

    Эти недостатки, изначально не такие опасные, могут стать одной из ступеней к более серьезным атакам, в ходе которых злоумышленник может удаленно запустить код.

    Как объясняет исследователь, основной уязвимости еще даже не присвоен идентификатор CVE, она находится в функции wp_get_attachment_thumb_file в файле /wpincludes/post.php. Ошибка может быть использована, когда атакующий получает контроль над параметром, используемым в вызове «file_exists».

    WordPress используется миллионами веб-ресурсов, следовательно, у этой уязвимости очень хорошие шансы поразить огромное количество жертв, если киберпреступники будут использовать ее в «дикой природе».

    Как заявили в Secarma, разработчиков CMS поставили в известность еще в феврале 2017 года. Однако до сих пор надлежащих мер так и не было принято. Технические детали уязвимости доступны по этой ссылке.

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 20.07.2017, 14:58
  2. Уязвимость в CMS Drupal и Wordpress
    От Val_Ery в разделе Лечение и защита сайтов от вирусов
    Ответов: 0
    Последнее сообщение: 07.08.2014, 21:29
  3. Закрыта опасная локальная уязвимость в 2.6.х версиях Linux-ядра
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 5
    Последнее сообщение: 19.08.2010, 22:16
  4. Ответов: 0
    Последнее сообщение: 11.07.2010, 03:25
  5. В браузере Firefox обнаружена опасная уязвимость
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 6
    Последнее сообщение: 12.09.2007, 18:40

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00434 seconds with 19 queries