Ще минулого тижня, 26 січня 2017 року, розробники однієї з найпопулярніших CMS в світі випустили WordPress 4.7.2, повідомивши, що в новій версії платформи був виправлений ряд проблем. При цьому розробники не попереджали про які-небудь страшних баги і писали, що оновлення усуває три уразливості: можливість реалізувати SQL-ін’єкцію, XSS-атаку, а також якусь проблему з обмеженням доступу.

"1"

Як з’ясувалося тепер, реліз WordPress 4.7.2 усунув вкрай серйозну уразливість, пов’язану з підвищенням привілеїв. В кінці січня 2017 року пролом виявили фахівці компанії Sucuri, і вони описують його як неавторизовану ескалацію привілеїв через REST API. До уразливості схильні версії 4.7.0 і 4.7.1.

Фактично, сформувавши спеціальний запит, неавторизований атакуючий здатний змінювати і видаляти вміст будь-якого посту на цільовому сайті. Крім того, використовуючи шорткоди плагінів, зловмисник зможе експлуатувати й інші уразливості CMS, які зазвичай недоступні навіть користувачам з високими привілеями. У підсумку атакуючий може впровадити на сторінки сайту SEO-спам, рекламу, і навіть виконуваний PHP-код, все залежить від доступних плагінів.

В офіційному блозі WordPress один з ключових розробників проекту, Аарон Камбелл, пише, що розкриття даних про уразливість свідомо відклали на тиждень, щоб якомога більше сайтів встигли спокійно встановити оновлення. Фахівці Sucuri, в свою чергу, повідомляють, що згідно з їхніми даними, уразливість поки не використовується хакерами, тобто кіберкрімінальний андеграунд теж не знав про проблему до недавнього часу.

Вас також може зацікавити інформація про те, що з’явилося програмне забезпечення, яке дозволяє обійти захист графічним ключем на смартфоні.

Коментарі закрито.

Поділитися

Представлений перший в світі холодильник на Windows 10

На виставці споживчої електроніки в Берліні компанія LG продемонструвала холодильник, який працює під управлінням операційної системи Windows 10. Пристрій одержав назву LG Smart Instaview Signature Door-in-Door Refrigerator. Холодильник отримав 29-дюймовий сенсорний екран, на якому відображається спеціальний віджет для управління девайсом. На стартовому екрані можна встановити таймер, секундомір, отримати доступ до списку продуктів, запустити браузер, включити […]

Hermes випустив особливі Apple Watch до Дня Подяки

Нещодавно стало відомо, що паризький бренд Hermes тиждень тому до Дня Подяки випустив у продаж особливу версію розумних годинників Apple Watch. У мережі є зображення варіанту Equador Tatouage, створеного талановитим дизайнером Робертом Даллетом. Відомо, що годинники будуть поставлятися обмеженим тиражем. Встановлена вартість новинки – $442 (замість $368 за серію Simple Tour). Придбати новинку можна тільки в фірмових магазинах Hermes. Про […]

Сайт Apple ID визнано одним з найбільш захищених в світі

Розробники програми для управління паролями Dashlane залучили групу дослідників для оцінки і ранжирування політики паролів і безпеки 37 споживчих і 11 корпоративних веб-сайтів. Apple ID отримав 4 бали з 5 можливих і рейтинг “Добре”. Оцінка сайтів відбувалася за 5 критеріями: пароль складається з 8+ символів потрібні буквенно-символьні паролі є індикатор складності паролю є обмеження на атаки […]