- 22, Nov 2015
- #1
Размышления по теме https://lumtu.com/wordpress/7487-vzlom-saita-na-wordpress.html
Приходило мне письмо. Но, я не любитель обновлять движки. Собственно, вот:
То есть как бы WordPress 4.2.1 неуязвим Но, я сказать конкретно не могу. У меня нет версий вордпресс начиная с четверки.
Приходило мне письмо. Но, я не любитель обновлять движки. Собственно, вот:
Wordpress опубликовал обновление WordPress 4.2.1.
Это критически важное обновление и всем пользователям популярной CMS Worpress рекомендуется обновиться.
Несколько часов назад команда получила информацию о XSS уязвимости, которая может быть использована злоумышленником, если на сайте включена возможность комментирования записей блога.
Уязвимость была обнаружена Jouko Pynnönen.
Уязвимость связана с тем, что если комментарий превысит стандартные для MySQL TEXT 64КБ, то будет будет усечен при внесении в базу данных.
Атакующий может оставить комментарий размером в 64KB, который попадает базу данных без проверок и может быть доступен читателям блога.
Таким образом, если атакующий внедрит в такой комментарий JavaScript код, то он будет исполнен в браузере пользователя.
В частности, если комментарий будет просмотрен администратором сайта, то злоумышленник может сменить пароль, создать новый аккаунт, загрузить файлы от имени администратора.
То есть как бы WordPress 4.2.1 неуязвим Но, я сказать конкретно не могу. У меня нет версий вордпресс начиная с четверки.