Уязвимость в плагине wpDiscuz для WordPress ведет к выполнению произвольного кода - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
30-07-2020, 00:01
Уязвимость в плагине wpDiscuz для WordPress ведет к выполнению произвольного кода - «Новости»
Рейтинг:
Категория: Новости

Аналитики компании Wordfence обнаружили опасную уязвимость в плагине wpDiscuz, установленном на 70 000 сайтов. Эксплуатация проблемы возможна после загрузки файлов на серверы, где размещен уязвимый сайт. В итоге злоумышленник получает возможность выполнить произвольный код.


Плагин wpDiscuz для WordPress является альтернативой таким известным решениями, как Disqus и Jetpack Comments, то есть предоставляет сайту систему для комментариев на базе Ajax, которая хранит сообщения в локальной базе данных.


Эксперты компании Wordfence рассказывают, что обнаружили проблему еще 19 июня 2020 года, о чем поспешили уведомить разработчиков wpDiscuz. В настоящее время баг уже исправлен в версии 7.0.5, выпущенной 23 июля 2002 года (попытка исправить проблему в версии 7.0.4 не увенчалась успехом). Подчеркивается, что проблема имеет статус критической и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS.


Корень бага заключается в том, что хотя плагин и был создан таким образом, чтобы разрешать пользователям прикладывать к сообщениям только файлы изображений, уязвимые версии wpDiscuz не справлялись с проверкой типов файлов, и в результате пользователи получали возможность загружать на север, к примеру, файлы PHP. После загрузки такого файла на хост-сервер уязвимого сайта, злоумышленники могли осуществить его запуск и выполнение, что влекло за собой и удаленное выполнение произвольного кода.



Уязвимость в плагине wpDiscuz для WordPress ведет к выполнению произвольного кода - «Новости»

Хотя исправленная версия плагина была выпущена 23 июля, за последнюю неделю ее загрузили немногим больше 28 000 раз (включая как обновления, так и новые установки). То есть порядка 42 000 сайтов, использующих wpDiscuz, по-прежнему уязвимы перед опасным багом и могут подвергаться атакам.


Эксперты настоятельно рекомендуют владельцам сайтов как можно скорее обновить плагин до последней версии, поскольку злоумышленники частенько используют известные проблемы в плагинах для WordPress для захвата и даже стирания чужих сайтов.


Аналитики компании Wordfence обнаружили опасную уязвимость в плагине wpDiscuz, установленном на 70 000 сайтов. Эксплуатация проблемы возможна после загрузки файлов на серверы, где размещен уязвимый сайт. В итоге злоумышленник получает возможность выполнить произвольный код. Плагин wpDiscuz для WordPress является альтернативой таким известным решениями, как Disqus и Jetpack Comments, то есть предоставляет сайту систему для комментариев на базе Ajax, которая хранит сообщения в локальной базе данных. Эксперты компании Wordfence рассказывают, что обнаружили проблему еще 19 июня 2020 года, о чем поспешили уведомить разработчиков wpDiscuz. В настоящее время баг уже исправлен в версии 7.0.5, выпущенной 23 июля 2002 года (попытка исправить проблему в версии 7.0.4 не увенчалась успехом). Подчеркивается, что проблема имеет статус критической и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Корень бага заключается в том, что хотя плагин и был создан таким образом, чтобы разрешать пользователям прикладывать к сообщениям только файлы изображений, уязвимые версии wpDiscuz не справлялись с проверкой типов файлов, и в результате пользователи получали возможность загружать на север, к примеру, файлы PHP. После загрузки такого файла на хост-сервер уязвимого сайта, злоумышленники могли осуществить его запуск и выполнение, что влекло за собой и удаленное выполнение произвольного кода. Хотя исправленная версия плагина была выпущена 23 июля, за последнюю неделю ее загрузили немногим больше 28 000 раз (включая как обновления, так и новые установки). То есть порядка 42 000 сайтов, использующих wpDiscuz, по-прежнему уязвимы перед опасным багом и могут подвергаться атакам. Эксперты настоятельно рекомендуют владельцам сайтов как можно скорее обновить плагин до последней версии, поскольку злоумышленники частенько используют известные проблемы в плагинах для WordPress для захвата и даже стирания чужих сайтов.

Теги: CSS

Просмотров: 537
Комментариев: 0:   30-07-2020, 00:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: