Главная

26
июля 2017
информация на сегодняшний день

Главная новость

Хакеры Интернет партии Украины обнаружили 0day уязвимость в популярном двигателе Wordpress

«Штатным хакером Интернет партии Украины Dementor’ом была обнаружена активная XSS в популярном движке Wordpress, который сейчас очень активно используется на многих веб сайтах.
Уязвимость присутствует из-за недостаточной фильтрации входящих данных. Проверенные версии WordPress: 3.5 и 3.5.1 (возможно есть и на более ранних), проверенные браузеры: Opera и Google Chrome.», - заявил лидер Интернет партии Украины Дмитрий Голубов.


"Чтобы воспользоваться выше упомянутой уязвимостью нужно иметь права редактора или администратора, то есть права на размещение/редактирование новостей. При размещении в тело сообщения JavaScript кода:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//"; alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-- </SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

после чего и срабатывает уязвимость. Таким образом мы видим, что злоумышленник может получить возможность атаковать всех пользователей, которые просто зайдут почитать размещённую новость или статью. При определенных манипуляциях с кодом можно также заразить массу посетителей сайта вирусом, перенаправляя их на вредоносный сайт.
Интернет партия Украины постоянно проводит проверки различного рода ресурсов сегмента UA-IX,  результаты проверок выявили очень много уязвимостей в правительственной зоне gov.ua" - подытожил  Дмитрий Голубов.


P.S. На момент опубликования этой новости, нами были уведомлены разработчики WordPress!




28.05.2013
Отзывы:
Александр / 28 мая 2013, 23:54
>>Хакеры Интернет партии Украины обнаружили 0day уязвимость в популярном двигателе Wordpress

Тогда уже «моторе Wordpress» :)

И текст на скриншоте, наверное, следует исправить на «I _have_ discovered»


По существу: интересно, но уровень опасности низкий. Что с того, что администратор может разместить произвольный код — на то он и администратор. А редакторами, обычно, кого попало тоже не делают.
Алексей Шевченко / 29 мая 2013, 00:10
2 Александр, вынужден с вами не согласится :)) Редактором может быть человек с хорошей репутацией, но при этом не специалист. Сегодня некоторые порталы которые делали перепечатку новости, вставили этот текст и я обнаружил у них XSS :)
А они только через пару часов заметили, это и просто удалили код. Так вот если бы здесь был не без винный вывод XSS, то все кто прочитал их новости были бы в опасности.
#D0C / 29 мая 2013, 08:50
Дополню ответ Алексея.
Доступ к админке можно получить множеством спообов, после чего разместить нужный код в статью и пожинать плоды.
Александр / 29 мая 2013, 17:04
Это даже смешно)) Вы раздуваете свою значимость, как ресурса? Других причин писать столь глупую статью я не вижу.
Александр / 29 мая 2013, 17:07
2 Алексей Шевченко вы, либо человек безграмотный в этом вопросе, либо лукавите. Хорошо, допустим мы упустим тот факт, что администратор и так имеет доступ к сайту и навредить он может и так. Но как на счет элементарное экранирование?
Александр / 29 мая 2013, 17:08
alert(String.fromCharCode(88, 83, 83))
123 / 29 мая 2013, 17:13
123
#D0C / 29 мая 2013, 18:33
При чем тут администратор и какое экранирование? Как раз то, которое в WP отсутствует вследствии чего и вылазят подобные баги?

Имя:
E-mail:
Ваш комментарий будет добавлен после проверки администратором

Главная


Идёт обновление информации, подождите...