Ще минулого тижня, 26 січня 2017 року, розробники однієї з найпопулярніших CMS в світі випустили WordPress 4.7.2, повідомивши, що в новій версії платформи був виправлений ряд проблем. При цьому розробники не попереджали про які-небудь страшних баги і писали, що оновлення усуває три уразливості: можливість реалізувати SQL-ін’єкцію, XSS-атаку, а також якусь проблему з обмеженням доступу.

"1"

Як з’ясувалося тепер, реліз WordPress 4.7.2 усунув вкрай серйозну уразливість, пов’язану з підвищенням привілеїв. В кінці січня 2017 року пролом виявили фахівці компанії Sucuri, і вони описують його як неавторизовану ескалацію привілеїв через REST API. До уразливості схильні версії 4.7.0 і 4.7.1.

Фактично, сформувавши спеціальний запит, неавторизований атакуючий здатний змінювати і видаляти вміст будь-якого посту на цільовому сайті. Крім того, використовуючи шорткоди плагінів, зловмисник зможе експлуатувати й інші уразливості CMS, які зазвичай недоступні навіть користувачам з високими привілеями. У підсумку атакуючий може впровадити на сторінки сайту SEO-спам, рекламу, і навіть виконуваний PHP-код, все залежить від доступних плагінів.

В офіційному блозі WordPress один з ключових розробників проекту, Аарон Камбелл, пише, що розкриття даних про уразливість свідомо відклали на тиждень, щоб якомога більше сайтів встигли спокійно встановити оновлення. Фахівці Sucuri, в свою чергу, повідомляють, що згідно з їхніми даними, уразливість поки не використовується хакерами, тобто кіберкрімінальний андеграунд теж не знав про проблему до недавнього часу.

Вас також може зацікавити інформація про те, що з’явилося програмне забезпечення, яке дозволяє обійти захист графічним ключем на смартфоні.

Коментарі закрито.

Поділитися

Apple переманила з Google фахівця з систем зарядки електромобілів

У п'ятницю компанія Google опублікувала патентну заявку на систему зарядки для електричного автомобіля. Примітний факт: одним з її творців названий Курт Адельбергер, який покинув інтернет-корпорацію в 2015 році і приєднався до Apple незабаром після цього. Інформація може розкрити напрям діяльності фахівця в «яблучній» корпорації. Курт Адельбергер є одним з творців «Проміжного пристрою для зарядки розумних електричних […]

Рекламодавці розривають контракт з найбільш відомим відеоблогером через скандал

Disney Maker Studios і YouTube закрили спільні проекти з найбільш високооплачуваним відеоблогером Феліксом Чельбергом, більш відомим як PewDiePie, пише The Verge. Причиною цього стали його ролики, в яких містилися ознаки антисемітизму. В одному зі свіжих відео PewDiePie продемонстрував двох жителів Індії, які тримають в руках плакат з написом «Смерть євреям». Блогер найняв їх через інтернет […]

На eSPORTconf Ukraine виступатиме менеджер кіберспортивного клубу Team Spirit

Менеджер eSports-клуба Team Spirit Руслан Бургін – спікер eSPORTconf Ukraine 22 лютого в Києві на eSPORTconf Ukraine свою доповідь презентує Руслан Бургін – менеджер складів кіберспортивного клубу Team Spirit. Під його керівництвом знаходяться команди з дисциплін Dota 2, CS: GO і Hearthstone. Склади Team Spirit регулярно беруть участь у масштабних міжнародних змаганнях і здобули ряд […]