ИПУ: обнаружили 0day уязвимость в популярном двигателе WordPress

Мой друг с ником Dementor, обнаружил на днях XSS во всех версиях WordPress до 3.5.1 включительно. Рекомендую всем у кого сайты на этой системе закрыть её, так как вы потенциально несете ответственность за заражение компьютеров ваших пользователей.

Чтобы воспользоваться выше упомянутой уязвимостью нужно иметь права редактора или администратора, то есть права на размещение/редактирование новостей. При размещении в тело сообщения JavaScript кода:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//–
</SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

после чего и срабатывает уязвимость.

Найцікавіше : ИПУ: обнаружили 0day уязвимость в популярном двигателе Wordpress

Фикс, уязвимости в читать дальше…

Для фикса, добавляем небольшой заменитель кода:

$text = 
preg_replace("/<script(.*?)>(.*?)<\/script>/gi","<script(.*?)>(.*?)<\/script>", $text);

На момент написания этой записи здесь, разработчики WordPress об уязвимости были уведомлены 🙂

Комментарии через Facebook

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються дані ваших коментарів.

...