Новости Software

Уязвимость в WordPress поставила под угрозу миллионы сайтов

Критические уязвимости, обнаруженные в популярной системе управления сайтами WordPress, поставили под угрозу миллионы сайтов по всему миру, сообщает портал Ars Technica.

Две серьёзные уязвимости, позволяющие злоумышленникам взломать любой сайт под управлением WordPress, были выявлены финской компанией Klikki Oy. Благодаря им хакеры могут получить контроль над административной панелью и даже над веб-сервером, на котором запущен WordPress.

 Hoch Zwei/Corbis

Hoch Zwei/Corbis

Под угрозой, в первую очередь, оказалась последняя версия системы — WordPress 4.2. Обе уязвимости принадлежат к классу межсайтового скриптинга (XSS) и связаны с ошибками в секции комментариев.

Для того чтобы получить контроль над сайтом, хакерам достаточно скопировать вредоносный код в секцию комментариев любого сайта, использующего WordPress. После этого комментарий должен быть дополнен любыми символами до 66 000 знаков, что сделает его размер равным 64 Кбайт. Такой размер базе данных WordPress обработать не под силу, поэтому комментарий будет опубликован в усечённом виде и будет содержать вредоносный скрипт. Вслед за этим у злоумышленников появится возможность запускать любой код на веб-сервере страницы.

 http://arstechnica.com/

arstechnica.com

Имея возможность запускать вредоносный код на сайте, хакеры за очень короткое время могут получить полный контроль над сайтом.

В течение двух часов после обнаружения уязвимости WordPress выпустила патч с исправлениями для версии 4.2.1. Сайты, использующие более раннюю версию системы, по-прежнему остаются под угрозой.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Разработчики олдскульного файтинга Blazing Strike объяснили перенос на 2023 год и показали новый тизер-трейлер 36 мин.
Продажи гигантов игровой индустрии упали во втором квартале на фоне ослабления коронавирусных ограничений 2 ч.
Для сюрреалистического квеста NORCO выпустили патч с новыми функциями, а поддержка macOS задержится 2 ч.
Слухи: следующей игрой от создателей последних Deus Ex станет проект по новой интеллектуальной собственности 2 ч.
Samsung выпустила бета-версию One UI 5 на базе Android 13 для смартфонов серии Galaxy S22 2 ч.
Больше всех от от блокировки Facebook и Instagram выиграл Telegram 3 ч.
Хакеры активизировали поиск инсайдеров среди сотрудников российских компаний 4 ч.
Мультиплеер Call of Duty: Modern Warfare 2 покажут в середине сентября — раскрыто расписание бета-тестирования 4 ч.
Кооперативный экшен Scrappers про команду мусорщиков в кибергороде появится на ПК 4 ч.
К списку бойцов Street Fighter 6 присоединились новичок серии и садистка из Super Street Fighter IV 5 ч.