качество и надёжность с 2008 года

8 (800) 200-25-11

Техническая поддержка support@komtet.ru —

круглосуточно и без выходных дней

load-whois

Онлайн-касса

для интернет-магазина

Подключите ваш интернет-магазин

к онлайн-кассе в соответствии с 54-ФЗ

Главная Новости Уязвимости в Disqus для CMS WordPress

Уязвимости в Disqus для CMS WordPress

В популярном плагине Disqus для WordPress было закрыто множество уязвимостей. По данным из оффициального репозитория WordPress плагин Disqus был скачен около 1,5 миллиона раз. Уязвимости существовали в версии плагина 2.76 и были устранены в верссии 2.77.

 Одна из уязвимостей позволяет провести CSRF-атаку через файл manage.php , поскольку параметры disqus_replace, disqus_public_key и disqus_secret_key передаются в функцию update_option напрямую без дополнительной проверки. Уязвимость эксплуатируется с помощью специально сгенерированной странички и социальной инженерии, суть метода заключается в том, чтобы убедить администратора WordPress сайта перейти на подготовленную заранее уязвимую страницу. Подробная информация по реализации уязвимости в блоге эксперта Nik Cubrilovic .

 Другая уязвимость позволяет осуществить CSRF-атаку ,с помощью которой удаленный пользователь может изменить или удалить некоторые параметры в системе комментариев Disqus. Удаленный пользователь при эксплуатации уязвимости может удалять комментарии пользователяй.

 Очередная уязвимость связанна с праметром step , благодаря которому возможна XSS-атака.

 Для устранения уязвимостей необходимо обновить плагин Disqus до версии 2.77 или выше. 

Клиентам — домены в подарок!
Бесплатный тест виртуального хостинга
Перенос сайта — бесплатно
Все акции
На сайте КОМТЕТ используются cookie-файлы, данные о IP-адресе и местоположении посетителей. Если, прочитав это сообщение, вы остаетесь на нашем сайте, это означает, что вы не возражаете против использования этих технологий.