Внеплановое обновление для WordPress устранило две критические уязвимости - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
11-07-2018, 02:01
Внеплановое обновление для WordPress устранило две критические уязвимости - «Новости»
Рейтинг:
Категория: Новости

Разработчики WordPress выпустили внеочередное обновление для своей CMS (4.9.7), которое исправило две критических уязвимости и почти два десятка других проблем.


В конце июля 2018 года специалисты компании RIPS рассказали о новой уязвимости в WordPress. Обнаруженная проблема была связана с тем, что любой зарегистрированный пользователь (хватит даже прав User или Author), имеющий доступ к редактору записей, также может загружать и удалять изображения и превью для них. В итоге такой пользователь способен внедрить в WordPress произвольный вредоносный код и удалить критически важные для работы CMS файлы, которые в нормальных условиях должны быть доступны только администратору на сервере или через FTP.


Исследователи предупреждали, что эксплуатируя данный баг, злоумышленник, например, может удалить файл wp-config.php. После этого он получает возможность повторно инициировать процесс установки CMS, использовав собственные настройки и, например, принудить уязвимый сайт распространять малварь или иной вредоносный контент.


Когда о проблеме было объявлено публично, патча для этой бреши еще не было, хотя сообщалось, что разработчиков WordPress проинформировали о баге еще в ноябре прошлого года.


Опасную уязвимость решили детально изучить эксперты компании Wordfence, которые разработали PoC-эксплоит для изучения атаки и соответствующее защитное правило для своего файрвола. В ходе данного анализа была выявлена вторая, «смежная» уязвимость, так же являющаяся критической и позволявшая удалять произвольные файлы CMS из-за некорректной работы AJAX экшена upload-attachment, который используется для загрузки медиаконтента.


Усилия специалистов Wordfence не пропали даром. Разработчики WordPress не планировали выпускать обновление раньше конца июля, однако потенциальная опасность обнаруженных багов все же заставила их изменить планы. Теперь всем пользователям рекомендуют как можно быстрее обновить WordPress до новейшей версии 4.9.7, так как критические уязвимости представляют угрозу для всех версий CMS, включая WordPress 4.9.6.


Источник новостиgoogle.com

Разработчики WordPress выпустили внеочередное обновление для своей CMS (4.9.7), которое исправило две критических уязвимости и почти два десятка других проблем. В конце июля 2018 года специалисты компании RIPS рассказали о новой уязвимости в WordPress. Обнаруженная проблема была связана с тем, что любой зарегистрированный пользователь (хватит даже прав User или Author), имеющий доступ к редактору записей, также может загружать и удалять изображения и превью для них. В итоге такой пользователь способен внедрить в WordPress произвольный вредоносный код и удалить критически важные для работы CMS файлы, которые в нормальных условиях должны быть доступны только администратору на сервере или через FTP. Исследователи предупреждали, что эксплуатируя данный баг, злоумышленник, например, может удалить файл wp-config.php. После этого он получает возможность повторно инициировать процесс установки CMS, использовав собственные настройки и, например, принудить уязвимый сайт распространять малварь или иной вредоносный контент. Когда о проблеме было объявлено публично, патча для этой бреши еще не было, хотя сообщалось, что разработчиков WordPress проинформировали о баге еще в ноябре прошлого года. Опасную уязвимость решили детально изучить эксперты компании Wordfence, которые разработали PoC-эксплоит для изучения атаки и соответствующее защитное правило для своего файрвола. В ходе данного анализа была выявлена вторая, «смежная» уязвимость, так же являющаяся критической и позволявшая удалять произвольные файлы CMS из-за некорректной работы AJAX экшена upload-attachment, который используется для загрузки медиаконтента. Усилия специалистов Wordfence не пропали даром. Разработчики WordPress не планировали выпускать обновление раньше конца июля, однако потенциальная опасность обнаруженных багов все же заставила их изменить планы. Теперь всем пользователям рекомендуют как можно быстрее обновить WordPress до новейшей версии 4.9.7, так как критические уязвимости представляют угрозу для всех версий CMS, включая WordPress 4.9.6. Источник новости - google.com

Теги: CSS, WordPress уязвимости обновление удалять была

Просмотров: 826
Комментариев: 0:   11-07-2018, 02:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: