Уязвимость в WordPress 5.0 и в более ранних версиях

Тема в разделе "Мировые IT новости", создана пользователем DegtWz, 19 дек 2018.

  1. DegtWz

    DegtWz Постоялец Нарушитель

    Регистр.:
    3 фев 2016
    Сообщения:
    143
    Симпатии:
    263
    Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей. Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.

    Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла.
    Ссылка
     
  2. Alexeina66

    Alexeina66

    Регистр.:
    26 авг 2013
    Сообщения:
    380
    Симпатии:
    386
    ну хотя бы молодцы, что быстро отреагировали и сообщество помогло
     
  3. preslilvs

    preslilvs Писатель

    Регистр.:
    16 мар 2016
    Сообщения:
    1
    Симпатии:
    0
    Новые обновления выходят оперативно, так что да проблема временная, уже вышло обновление 5.0.3
     
  4. saturnxxi

    saturnxxi Писатель

    Регистр.:
    7 фев 2013
    Сообщения:
    3
    Симпатии:
    0
    Мне повезло, успел обновиться, а у друга сайт взломали. Хорошо, что бэкап был и все восстановили.