X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> А вы уже обновили плагины для WordPress?
zerosoul
zerosoul
Topic Starter сообщение 24.4.2015, 15:51; Ответить: zerosoul
Сообщение #1


На одну из самых популярных CMS-систем в мире обрушилась очередная вирусная угроза. Серьезная уязвимость заставила вебмастеров в спешном порядке обновлять почти два десятка плагинов на WordPress сайтах.

Эксплойт обнаружили специалисты по IT-безопасности из компании Sucuri Security. Касается он межсайтового скриптинга (XSS). Использование этой атаки злоумышленникам упрощает некорректное применение разработчиками плагинов для WordPress популярных функций add_query_arg () и remove_query_arg (), которые применяются для изменения и добавления строк запроса в URL в рамках рассматриваемой CMS.

Плагины, через которые можно получить XSS атаку:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Многочисленные плагины от Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Многочисленные продукты от iThemes, включая Builder и Exchange
  • Broken-Link-Checker
  • Ninja Forms


Если вы используете какой-либо из перечисленных выше плагинов, рекомендуется немедленно его обновить. Эксперты Sucuri предупреждают, что список неполный – уязвимость может быть обнаружена и в других плагинах.

Источник

Сообщение отредактировал zerosoul - 24.4.2015, 15:52


Поблагодарили: (2)
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Buissness_Man
Buissness_Man
сообщение 26.4.2015, 21:52; Ответить: Buissness_Man
Сообщение #2


Постоянно держу плагины обновленными - дырявостей, конечно, много, зато возможности вполне перекрывают этот недостаток, когда подходишь с головой :)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
tavel
tavel
сообщение 4.5.2015, 21:00; Ответить: tavel
Сообщение #3


Сейчас самый популярный браузер это Chrome, обойти его встроенный XSS-фильтр способны немногие, так что XSS сама по себе - не очень актуальная угроза. В наши дни она может представлять какую-то опасность лишь в комбинации с другими уязвимостями, например, HTTP response splitting и open redirect. Новость - попытка самопиара очередной неизвестной секьюрити банды :)


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
winstrool
winstrool
сообщение 15.5.2015, 16:21; Ответить: winstrool
Сообщение #4


для копилочки:
http://seclists.org/bugtraq/2015/May/56 - XSS в теме что идет комплектом с WP
http://seclists.org/fulldisclosure/2015/Apr/84 - XSS в стандартных комментариях WP

P.S: XSS само по себе очень актуальная бага, просто не все умеют составлять грамотные сплоиты для реализации и браузеру Chrome, тут нечем гордиться, не спасет!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
altblog
altblog
сообщение 16.6.2015, 12:59; Ответить: altblog
Сообщение #5


Стоит автоматическое обновление.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Партнерская программа для Эзотерики, Магии, Таро
партнерка для эзотерики
0 LiveExpert 279 Сегодня, 15:13
автор: LiveExpert
Открытая тема (нет новых ответов) Партнерская программа для Эзотерики, Магии, Таро
партнерка для эзотерики
0 LiveExpert 263 Сегодня, 15:13
автор: LiveExpert
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыAzinomoney.com - гемблинг-партнерка с 65%RS для каждого
Гарантированный заработок на гемблинг-трафике
65 AzinoMoney 29166 Вчера, 19:10
автор: AzinoMoney
Горячая тема (нет новых ответов) Делаю полностью уникальный дизайн для сайтов!
46 AlexDIZ 93453 26.3.2024, 20:03
автор: AlexDIZ
Открытая тема (нет новых ответов) Большие ставки для кликов в Я.Директ. Как удешевить?
2 rownong27 1117 26.3.2024, 14:13
автор: knezevolk


 



RSS Текстовая версия Сейчас: 28.3.2024, 18:27
Дизайн