ИПУ: обнаружили 0day уязвимость в популярном двигателе WordPress

Мой друг с ником Dementor, обнаружил на днях XSS во всех версиях WordPress до 3.5.1 включительно. Рекомендую всем у кого сайты на этой системе закрыть её, так как вы потенциально несете ответственность за заражение компьютеров ваших пользователей.

Чтобы воспользоваться выше упомянутой уязвимостью нужно иметь права редактора или администратора, то есть права на размещение/редактирование новостей. При размещении в тело сообщения JavaScript кода:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//—
</SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

после чего и срабатывает уязвимость.

Самое интересное : ИПУ: обнаружили 0day уязвимость в популярном двигателе Wordpress

Фикс, уязвимости в читать дальше…

Для фикса, добавляем небольшой заменитель кода:

$text = 
preg_replace("/<script(.*?)>(.*?)<\/script>/gi","<script(.*?)>(.*?)<\/script>", $text);

На момент написания этой записи здесь, разработчики WordPress об уязвимости были уведомлены 🙂

Комментарии через Facebook

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

...