Ще минулого тижня, 26 січня 2017 року, розробники однієї з найпопулярніших CMS в світі випустили WordPress 4.7.2, повідомивши, що в новій версії платформи був виправлений ряд проблем. При цьому розробники не попереджали про які-небудь страшних баги і писали, що оновлення усуває три уразливості: можливість реалізувати SQL-ін’єкцію, XSS-атаку, а також якусь проблему з обмеженням доступу.

"1"

Як з’ясувалося тепер, реліз WordPress 4.7.2 усунув вкрай серйозну уразливість, пов’язану з підвищенням привілеїв. В кінці січня 2017 року пролом виявили фахівці компанії Sucuri, і вони описують його як неавторизовану ескалацію привілеїв через REST API. До уразливості схильні версії 4.7.0 і 4.7.1.

Фактично, сформувавши спеціальний запит, неавторизований атакуючий здатний змінювати і видаляти вміст будь-якого посту на цільовому сайті. Крім того, використовуючи шорткоди плагінів, зловмисник зможе експлуатувати й інші уразливості CMS, які зазвичай недоступні навіть користувачам з високими привілеями. У підсумку атакуючий може впровадити на сторінки сайту SEO-спам, рекламу, і навіть виконуваний PHP-код, все залежить від доступних плагінів.

В офіційному блозі WordPress один з ключових розробників проекту, Аарон Камбелл, пише, що розкриття даних про уразливість свідомо відклали на тиждень, щоб якомога більше сайтів встигли спокійно встановити оновлення. Фахівці Sucuri, в свою чергу, повідомляють, що згідно з їхніми даними, уразливість поки не використовується хакерами, тобто кіберкрімінальний андеграунд теж не знав про проблему до недавнього часу.

Вас також може зацікавити інформація про те, що з’явилося програмне забезпечення, яке дозволяє обійти захист графічним ключем на смартфоні.

Коментарі закрито.

Поділитися

GAMES. Evoland – ностальгия по культовым RPG играм

Хорошо, что создатели мобильных платформ позаботились том, чтобы с их помощью можно было бы играть в различные игры. Взять хотя бы популярную, и многими любимую игру Evoland. Некоторые геймеры могут утверждать, что это творение компании  Shiro Games трудно отнести к какому-то конкретному игровому жанру, хотя на самом деле все довольно просто. Вне сомнения Evoland относится […]

Как сэкономить при покупке нового устройства

Приходит время, и все мы отправляемся за покупкой новинки от Apple. В данном случае, главным вопросом является то, где лучше купить? Вариантов масса. К примеру, наиболее выгодно будет заказать за границей. Однако если вам не часто приходится бывать в отпуске, а знания английского не на высоте, то придется заняться поисками товара в нашей рознице, хотя […]

Як завантажити за день 1 ТБ через мобільний інтернет

У березні цього року у найбільшій телекомунікаційній компанії Австралії Telstra стався масштабний збій, в результаті якого третина населення країни втратила мобільного зв'язку на весь робочий день. Щоб хоч якось пом'якшити гнів австралійців, глава Telstra оголосив, що в неділю, 3 квітня, всі без винятку її клієнти можуть використовувати інтернет без обмежень трафіку. Деякі австралійці сприйняли це як виклик […]