Ще минулого тижня, 26 січня 2017 року, розробники однієї з найпопулярніших CMS в світі випустили WordPress 4.7.2, повідомивши, що в новій версії платформи був виправлений ряд проблем. При цьому розробники не попереджали про які-небудь страшних баги і писали, що оновлення усуває три уразливості: можливість реалізувати SQL-ін’єкцію, XSS-атаку, а також якусь проблему з обмеженням доступу.

"1"

Як з’ясувалося тепер, реліз WordPress 4.7.2 усунув вкрай серйозну уразливість, пов’язану з підвищенням привілеїв. В кінці січня 2017 року пролом виявили фахівці компанії Sucuri, і вони описують його як неавторизовану ескалацію привілеїв через REST API. До уразливості схильні версії 4.7.0 і 4.7.1.

Фактично, сформувавши спеціальний запит, неавторизований атакуючий здатний змінювати і видаляти вміст будь-якого посту на цільовому сайті. Крім того, використовуючи шорткоди плагінів, зловмисник зможе експлуатувати й інші уразливості CMS, які зазвичай недоступні навіть користувачам з високими привілеями. У підсумку атакуючий може впровадити на сторінки сайту SEO-спам, рекламу, і навіть виконуваний PHP-код, все залежить від доступних плагінів.

В офіційному блозі WordPress один з ключових розробників проекту, Аарон Камбелл, пише, що розкриття даних про уразливість свідомо відклали на тиждень, щоб якомога більше сайтів встигли спокійно встановити оновлення. Фахівці Sucuri, в свою чергу, повідомляють, що згідно з їхніми даними, уразливість поки не використовується хакерами, тобто кіберкрімінальний андеграунд теж не знав про проблему до недавнього часу.

Вас також може зацікавити інформація про те, що з’явилося програмне забезпечення, яке дозволяє обійти захист графічним ключем на смартфоні.

Коментарі закрито.

Поділитися

Samsung і Yamaha розробили концепт розумного вітрового скла

  Компанії Samsung і Yamaha спільно розробили концепцію лобового скла Samsung Smart, яке зможе відображати інформацію від смартфона безпосередньо в полі зору мотоцикліста. Samsung і Yamaha вже оголосили про співпрацю в розробці нової платформи для підвищення безпеки дорожнього руху. Концепція розумного вітрового скла представляє собою проекційний екран, який відображає всю необхідну інформацію безпосередньо в полі зору […]

Apple: 79% користувачів iPhone, iPad і iPod touch вже оновилися на iOS 9

В кінці лютого ми повідомили про те, що частка операційної системи iOS 9 застигла на позначці в 77%. Протягом місяця практично не змінювалося кількість сумісних пристроїв, які почали використовувати дев’яту версію мобільної «операційки». У понеділок Apple опублікувала свіжу статистику, яка показує ступінь популярності різних версій iOS. За останній час частка нової платформи зрушила з місця […]

Apple подарувала співробітникам на Різдво навушники Beats

Щороку співробітникам Apple роздають корпоративні подарунки, і в цьому році святкування розпочалося незвично рано – торік святкові подарунки працівникам Тіма Кука вручали тільки в середині грудня. Цього року презенти почали роздавати в самому початку місяця. Нещодавно з'ясувалося, що частина сервісів Apple буде працювати в грудні за спеціальним розкладом через відпустки «яблучних» співробітників. Сьогодні стало відомо, […]