Уязвимость в WordPress

Wmboard · 22.11.15

Размышления по теме https://lumtu.com/wordpress/7487-vzlom-saita-na-wordpress.html
Приходило мне письмо. Но, я не любитель обновлять движки. Собственно, вот:

Wordpress опубликовал обновление WordPress 4.2.1.
Это критически важное обновление и всем пользователям популярной CMS Worpress рекомендуется обновиться.
Несколько часов назад команда получила информацию о XSS уязвимости, которая может быть использована злоумышленником, если на сайте включена возможность комментирования записей блога.
Уязвимость была обнаружена Jouko Pynnönen.

Уязвимость связана с тем, что если комментарий превысит стандартные для MySQL TEXT 64КБ, то будет будет усечен при внесении в базу данных.
Атакующий может оставить комментарий размером в 64KB, который попадает базу данных без проверок и может быть доступен читателям блога. Таким образом, если атакующий внедрит в такой комментарий JavaScript код, то он будет исполнен в браузере пользователя. В частности, если комментарий будет просмотрен администратором сайта, то злоумышленник может сменить пароль, создать новый аккаунт, загрузить файлы от имени администратора.

С Хабра

То есть как бы WordPress 4.2.1 неуязвим :)
Но, я сказать конкретно не могу. У меня нет версий вордпресс начиная с четверки.

Nyhsa · 27.06.16

Veter написал(а):
Но, я не любитель обновлять движки.

Veter, а вообще можно сделать так чтоб движок не обновлялся?? Я имею в виду сам по себе) У меня на сайте сам обновляется, просто приходит письмо на почту, о том что мой ВП обновился до такой то версии... а я даже в админку не заходила))

А все нашла плагинчик )) надо было раньше раздел с плагинами посмотреть)

Уязвимость в WordPress

Wmboard

Nyhsa