11 июля 2018 г.

Позапланове оновлення для WordPress усунуло дві критичні уразливості

Розробники WordPress випустили позачергове оновлення для своєї CMS (4.9.7), яке виправило дві критичних вразливості і майже два десятка інших проблем.

В кінці липня 2018 року фахівці компанії RIPS розповіли про нову уразливість в WordPress. Виявлена проблема була пов'язана з тим, що будь-який зареєстрований користувач (вистачить навіть прав User або Author), який має доступ до редактора записів, також може завантажувати і видаляти зображення і превью для них. В результаті такої користувач здатний впровадити в WordPress довільний шкідливий код і видалити критично важливі для роботи CMS файли, які в нормальних умовах повинні бути доступні тільки адміністратору на сервері або через FTP.


Дослідники попереджали, що експлуатуючи даний баг, зловмисник, наприклад, може видалити файл wp-config.php. Після цього він отримує можливість повторно ініціювати процес установки CMS, використавши власні настройки і, наприклад, примусити уразливий сайт поширювати малваре чи іншої шкідливий контент.


Коли про проблему було оголошено публічно, патча для цього пролому ще не було, хоча повідомлялося, що розробників WordPress поінформували про баг ще в листопаді минулого року.

Небезпечну вразливість вирішили детально вивчити експерти компанії Wordfence, які розробили PoC-експлоїт для вивчення атаки і відповідне захисне правило для свого файрвола. В ході даного аналізу було виявлено друга, «суміжна» вразливість, так само є критичною і дозволяла видаляти довільні файли CMS через некоректну роботу AJAX екшену upload-attachment, який використовується для завантаження медіаконтенту.

Зусилля фахівців Wordfence не пропали даром. Розробники WordPress не планували випускати оновлення раніше кінця липня, однак потенційна небезпека виявлених багів все ж змусила їх змінити плани. Тепер всім користувачам рекомендують якомога швидше оновити WordPress до новітньої версії 4.9.7, так як критичні уразливості становлять загрозу для всіх версій CMS, включаючи WordPress 4.9.6.

Головна Новини WordPress Позапланове оновлення для WordPress усунуло дві критичні уразливості

Tags : , , , , ,

Комментариев нет:

Отправить комментарий

Follow us

Follow.NOETIKOS

Contact Info

Зв'язок з нами

Дізнайтеся вартість підтримки вашого проекту

Або заповніть бриф на замовлення послуг

Заповнити бриф
×