Ще минулого тижня, 26 січня 2017 року, розробники однієї з найпопулярніших CMS в світі випустили WordPress 4.7.2, повідомивши, що в новій версії платформи був виправлений ряд проблем. При цьому розробники не попереджали про які-небудь страшних баги і писали, що оновлення усуває три уразливості: можливість реалізувати SQL-ін’єкцію, XSS-атаку, а також якусь проблему з обмеженням доступу.

"1"

Як з’ясувалося тепер, реліз WordPress 4.7.2 усунув вкрай серйозну уразливість, пов’язану з підвищенням привілеїв. В кінці січня 2017 року пролом виявили фахівці компанії Sucuri, і вони описують його як неавторизовану ескалацію привілеїв через REST API. До уразливості схильні версії 4.7.0 і 4.7.1.

Фактично, сформувавши спеціальний запит, неавторизований атакуючий здатний змінювати і видаляти вміст будь-якого посту на цільовому сайті. Крім того, використовуючи шорткоди плагінів, зловмисник зможе експлуатувати й інші уразливості CMS, які зазвичай недоступні навіть користувачам з високими привілеями. У підсумку атакуючий може впровадити на сторінки сайту SEO-спам, рекламу, і навіть виконуваний PHP-код, все залежить від доступних плагінів.

В офіційному блозі WordPress один з ключових розробників проекту, Аарон Камбелл, пише, що розкриття даних про уразливість свідомо відклали на тиждень, щоб якомога більше сайтів встигли спокійно встановити оновлення. Фахівці Sucuri, в свою чергу, повідомляють, що згідно з їхніми даними, уразливість поки не використовується хакерами, тобто кіберкрімінальний андеграунд теж не знав про проблему до недавнього часу.

Вас також може зацікавити інформація про те, що з’явилося програмне забезпечення, яке дозволяє обійти захист графічним ключем на смартфоні.

Коментарі закриті.

Поділитися

Як зламати будь-яку гру на iPhone і iPad без джейлбрейка

Ситуація з утилітами для злому останніх версій iOS поки ще неоднозначна. Хакери обіцяють випустити робочі рішення, але це тільки обіцянки. Однак, якщо джейлбрейк потрібен вам для розширеного доступу до ігор, зокрема – для завантаження сторонніх файлів збереження з внутрішньоігровими покупками, то без джейлбрейка цілком можна обійтися. Щоб завантажити в iPhone і iPad збереження гри в […]

Система відеоспостереження замість лампочки

Відеоспостереження це одна з основних частин системи безпеки. Багато хто вважає, що це дуже складно налагодити та зібрати так, щоб все працювало як слід: треба купити камеру, встановити її, підвести мережу і електрику, настроїти який-небудь сервер… Максимально полегшити процес встановлення домашньої системи відеоспостереження можна за допомогою незвичайної камери iCamPRO Deluxe. Смарт-камера від компанії Amaryllo повинна […]

Microsoft оголосила дату проведення BUILD 2017

Компанія Microsoft поділилася першими деталями про власну велику конференцію BUILD 2017. Як правило, зустріч розробників з топ-менеджерами і провідними інженерами компанії проходить на початку квітня, проте в цьому році конференція пройде з 10 по 12 травня. Це трапиться в Сіетлі, причому в одному місці зберуться 5 000 розробників, а також засновник компанії Білл Гейтс і […]