Главная Компания Новости Уязвимость в WordPress 3.x

Уязвимость в WordPress 3.x

В WordPress 3.x выявлена уязвимость, позволяющая подставить JavaScript-код через комментарий

Все сайты на WordPress 3.x и предусматривающие размещение комментариев к публикациям подвержены уязвимости, позволяющей атакующему разместить комментарий, при просмотре которого будет выполнен специальный JavaScript-код.

Для демонстрации опасности выявленной проблемы была подготовлена атака, которая:

  • позволила незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий;
  • использовала перехваченную информацию для создания новой привилегированной учётной записи;
  • использовала редактор плагинов для организации выполнения PHP-кода на сервере.

WordPress 4.0 такой проблеме не подвержен, но тем не менее, разработчики выпустили откорректированный релиз WordPress 4.0.1, в котором интегрированы некоторые дополнительные механизмы защиты. Поддержка ветки WordPress 3.x прекращена, рекомендуем перейти на выпуск WordPress 4.0.1. Если самостоятельный переход на данный выпуск по какой-либо причине не представляется возможным, то мы можем выполнить это за вас, в рамках услуги Дополнительные работы по сайту/серверу.

Для тех, кто не может срочно мигрировать на ветку 4.0, подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5.

Другие документы на эту тему

WordPress

Популярная система публикации блогов, новостных ресурсов и «обычных» сайтов. Поддерживает мультисайтовость.