Серьезная уязвимость в WordPress 3

WordPress
WordPress

Добрый вечер уважаемые читатели блога pyatilistnik.info, сегодня я расскажу что в самом популярном, бесплатном CMS WordPress 3 обнаружена серьезная уязвимость системы безопасности. Компания Klikki Oy нашла данную уязвимость в версии WordPress 3, которая может использоваться для запуска разного рода вредоносных атак на основе скриптов. Если обратиться к статистике ее распространения, уязвимость затрагивает 86% сайтов на движке WordPress.

Уязвимость позволяет создавать в блогах комментарии с вредоносным кодом на JavaScript. Если сайты разрешают писать комментарии без аутентификации, а это настройка по умолчанию в WordPress, то вставить такой код, нацеленный на посетителей или администраторов сайта, сможет любой желающий. В продемонстрированной специалистами Klikki Oy атаке они сумели получить доступ к установленной сессии администратора и создать новый административный аккаунт, изменив текущий пароль администратора и запустив на сервере вредоносный PHP-код.

В WordPress 3 найдена уязвимость системы безопасности
В WordPress 3 найдена уязвимость системы безопасности

Созданный исследователями эксплоит устраняет все следы скрипта из базы данных, далее выполняет административные задачи, вроде смены пароля пользователя, добавления нового администратора, использования редактора плагинов для написания PHP-кода на сервере. Пользователь при этом не видит никаких следов данной активности. После написания кода PHP AJAX-запрос позволяет немедленно выполнить его и получить доступ к операционной системе на сервере.

В вышедшей в сентябре версии WordPress 4.0 данная уязвимость отсутствует.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *