Безопасность в глобальной сети Интернет

Исправлено 7 уязвимостей в WordPress 5.0.1

Ранее в этом месяце официально WordPress выпустили WP версии 5.0 с различными обновлениями, которые принесли множество функций и изменений. Однако, это также привело к проблемам обратной совместимости. Кроме того, более ранние версии WordPress также имели различные ошибки безопасности, которые требовали исправления. Поэтому недавно выкатили WordPress 5.0.1 для устранения ряда уязвимостей безопасности WordPress, которые затрагивают почти все предыдущие версии до версии 3.7.

7 уязвимостей, которые были исправлены в WordPress 5.0.1

После всех обновлений функционала WordPress 5.0 разработчики взялись устранять уязвимости CMS, которые касались безопасности На этой неделе они выпустили WordPress 5.0.1 с исправлениями безопасности для семи различных уязвимостей.

Как упомянуто в отчете безопасности WordPress 5.0.1, последняя версия устраняет недостатки, о которых сообщалось в частном порядке. Вкратце о исправленных уязвимостях.

Уязвимость аутентификации

Два исследователя из RIPS Tech сообщили о двух разных недостатках безопасности в WordPress, которые касаются проблем аутентификации. Одна из этих уязвимостей, обнаруженная Саймоном Сканнеллом, может позволить создавать несанкционированные типы записей. Как указано в выпуске безопасности WP,

«Саймон Сканнелл из RIPS Technologies обнаружил, что авторы могут создавать посты несанкционированных типов с собственным вводом данных».

Другая уязвимость, о которой сообщил Карим Эль Уэргемми, может позволить неавторизованным пользователям удалить файлы, изменив метаданные.

Внедрение PHP-объектов

В Black Hat USA 2018 Сэм Томас из Secarma выделил уязвимость несериализации PHP, которая делала сайты на CMS WordPress уязвимыми для полного взлома системы. Чтобы воспользоваться этой уязвимостью, хакер может просто инициировать десериализацию вредоносного объекта.

Cross-Site Scripting (XSS) уязвимости

Исследователь Тим Коэн обнаружил три различные уязвимости межсайтового скриптинга(XSS). Одна из них, совместно с Slavco Mihajloski, может привести к обходу проверки MIME путем загрузки специально созданных файлов на сайты, размещенные на сервереApache.

Две другие уязвимости XSS, приписываемые исключительно Коэну, могут позволить хакеру воздействовать на некоторые плагины и редактировать новые комментарии.

Уязвимость плагина Yoast SEO

Как поясняется в отчете безопасности, уязвимость Yoast может привести к раскрытию адресов электронной почты и паролей.

«Команда Yoast обнаружила, что экран активации пользователя может индексироваться поисковыми системами в некоторых конфигурациях, что приводит к раскрытию адресов электронной почты, а в некоторых редких случаях – сгенерированных по умолчанию паролей».

Но хочется сказать, что данную уязвимость не стоит путать с (CVE-2018-19370), которая была недавно исправлена в Yoast SEO 9.2.

Скорее обновляйте WordPress до версии 5.0.1

Чтобы не быть подверженным этим 7 уязвимостям, которые описаны выше, необходимо убедиться, что версия CMS WordPress обновлена и это минимум WP 5.0.1, так как на данный момент уже доступна версия 5.0.2.

Related Articles

Что такое брандмауэр и для чего он нужен?

12.11.2019

DeepSound — инструмент для аудио стеганографии

05.11.2019

Cangibrina — инструмент поиска панели администратора

21.10.2019

Обзор безопасности IPv6: маленький взгляд в будущее

18.10.2019

Топ 100 000 общих паролей, которые уже известны хакерам

08.10.2019

pwdump 1.4.2 и fgdump 1.3.4 — сброс пароля Windows

02.10.2019

Что такое обратный DNS? Основные инструменты для выполнения обратного поиска DNS

26.09.2019

Anteater-CI/CD система проверки безопасности Framework

22.09.2019

SystemBC Malware прокладывает путь для других вредоносных атак

04.08.2019

Обнаружены уязвимости в Comodo Antivirus

28.07.2019

One Comment

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button
Adblock
detector . 207 запросов. 0,163 секунд.