Ένα κενό ασφαλείας στο θέμα TwentyFifteen (το οποίο είναι συνήθως προεγκατεστημένο) και στο plugin JetPack(1 εκατομμύριο+ εγκαταστάσεις), ανοίγουν τις σελίδες που το χρησιμοποιούν σε DOM (document object model) Cross-site Scripting επιθέσεις (XSS). Πιο συγκεκριμένα, το πακέτο "genericons" είναι υπεύθυνο (περιλαμβάνεται στα προαναφερθέντα θέματα/plugins).
Ο διαχειριστής θα πρέπει να είναι συνδεδεμένος σε ένα ευάλωτο WordPress website και να κλικάρει κάποιο κακόβουλο σύνδεσμο για να χρησιμοποιηθεί η ευπάθεια.
Η ευπάθεια αυτή είναι γνωστή αρκετές μέρες τώρα (πριν από τη δημοσίευσή της).
Εαν είστε διαχειριστής WordPress site με το πακέτο genericons, διαγράψτε το example.html ή μπλοκάρετε την πρόσβαση σε αυτό μέσω firewall.
Πηγή: arstechnica
Εμφάνιση 1-2 από 2
-
07-05-15, 20:58 Κενό Ασφαλείας στο Wordpress επιτρέπει επιθέσεις Cross Site Scripting #1
Advanced Member
- Εγγραφή
- 19-03-2011
- Ηλικία
- 34
- Μηνύματα
- 572
- Downloads
- 3
- Uploads
- 0
- Τύπος
- ADSL2+
- Ταχύτητα
- 10383/979
- ISP
- HOL
- DSLAM
- HOL - ΠΕΙΡΑΙΑΣ
- Router
- Netgear DGND3700v2
- SNR / Attn
- 5.1(dB) / 30.0(dB)
- Path Level
- Fastpath
-
13-05-15, 01:49 Απάντηση: Κενό Ασφαλείας στο Wordpress επιτρέπει επιθέσεις Cross Site Scripting #2
Zer0c00L Guestεχει επιδιορθωθεί με την έκδοση του Wordpress 4.2.2
ΠαράθεσηΠαρόμοια Θέματα
-
Σοβαρό κενό ασφαλείας στο OpenSSL
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 75Τελευταίο Μήνυμα: 05-06-14, 19:04
Bookmarks