Уязвимость в WordPress 5.0 и в более ранних версиях

DegtWz

Мой дом здесь!
Регистрация
3 Фев 2016
Сообщения
200
Реакции
290
Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей. Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.

Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла.
Для просмотра ссылки Войди или Зарегистрируйся
 
ну хотя бы молодцы, что быстро отреагировали и сообщество помогло
 
Новые обновления выходят оперативно, так что да проблема временная, уже вышло обновление 5.0.3
 
Мне повезло, успел обновиться, а у друга сайт взломали. Хорошо, что бэкап был и все восстановили.
 
Если не устанавливать темы и плагины сомнительного происхождения то не чего не пробивается
 
Устанавливать плагины и темы только из проверенных источников и проблем не будет
 
Назад
Сверху