The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в WordPress-плагине "Simple Social Buttons"

14.02.2019 10:39

В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).

Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.



  1. Главная ссылка к новости (https://www.webarxsecurity.com...)
  2. OpenNews: В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками
  3. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  4. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  5. OpenNews: Доля WordPress среди крупнейших сайтов достигла 30%
  6. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
Лицензия: CC-BY
Тип: Программы
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (53) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.2, Аноним (2), 10:52, 14/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Да, выглядит именно как "уязвимость", а не бэкдор.
    Полон опасностей personal-home-page-мирок.
     
     
  • 2.16, Аноним (16), 11:59, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Flat File CMS не такой!!!
     
  • 2.61, IRASoldier (?), 06:13, 15/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обожаю фанатов "свободного" софта. Они везде видят бэкдоры и заговоры. А ведь казалось бы, надо радоваться, что независимый анализ кода сотнями _хомячков_ энтузиастов позволяет находить баги...
     
     
  • 3.62, Онаним (?), 09:10, 15/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В случае вордпреса и жумлы - это независимое написание кода сотнями _хомячков_. Ни о каком анализе там давно уже и речи не идёт.
     
     
  • 4.68, IRASoldier (?), 18:29, 15/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё-таки кто-то баги по безопасности находит, информирует об этом комьюнити и даже пилит патчи. На самом деле таким товарищам респект. Но популярные CMS в плане качества кода - адЪ и скрежет зубовный...
     

  • 1.3, Аноним (3), 11:05, 14/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот тебе и "Simple"
     
  • 1.4, Онаним (?), 11:08, 14/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Вот что бывает, когда не проверяешь входные данные с клиента.
     
     
  • 2.25, Аноним (25), 12:07, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Вот что бывает когда плагины:
    * Не изолированны.
    * Исполняются с привилегиями основного кода.
    * Имеют доступ к базам данных.
    * Могут произвольно загружать внешний код.
    Такая система в принципе не может быть безопасной.
     
     
  • 3.32, Аноним (32), 14:16, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В рамках какой cms на php эта проблема плагинов решена?
    Где, вообще, эта проблема решена?
     
  • 3.33, Crazy Alex (ok), 14:18, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато может быть достаточно гибкой и не сильно прожорливой
     
     
  • 4.47, Аноним (25), 15:39, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress

    #гибкость #agile #runfastbreakthings

     
     
  • 5.57, annual slayer (?), 23:38, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нет пулично доступной информации, что эти инвалиды используют agile

    но я тебе подыграю:
    а как waterfall бы это предотвратил?

     
  • 3.60, пох (?), 23:47, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    погоди, а нафига мне плагин - изолированный, не имеющий доступ к базе, с урезанными привиллегиям? (ну хрен с ним с внешним кодом, хотя вообще-то вон сам вротпресс ты небось тоже откуда-то загрузил, не лично побайтно набрал?)
    он чего в результате делать-то сможет?

    См прекрасную историю гуглоулучшаек, нечаянно (или не совсем?) победивших ubo. Зато безопастно!


     

  • 1.5, Аноним (5), 11:20, 14/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кривые плагины с административными правами разрушат любую систему. Спасение от этого CMS-хаоса - минимализм. Например, WonderCMS.
     
     
  • 2.8, Аноним (25), 11:44, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +24 +/
    > Спасение от этого CMS-хаоса

    WEBанутым нет покоя.

    Домашнюю страницу? Обфзательно на WordPress! Даже если сайтик на 100% статический и обновляется раз в год. Не забываем установить 10 самых популярных плагинов!

    Картинки для сайтика? Обрезаем обязательно в PhotoShop последней версии ПроЭлитЛимитедЭдишон

    Хостимся? Обязательно в GoogleAzureAmazon cloud в контейнерах на кубеннетесе. Не менее чем в  5 инстансах сразу. Никто не знает выдержит ли ВордПресс наплыв десяти пользователей сразу!



     
     
  • 3.27, Аноним (27), 13:04, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Никто не знает выдержит ли ВордПресс наплыв десяти пользователей сразу!

    this

    а мое решение просто - нифих такие гогносайты. Их делают люди, не способные к созиданию, они не могут ни оформить свои мысли в удобный для читателя формат, ни даже позаботиться о сохрании своих же текстов в нормальнов виде, а не кривой базе вордпресса.

     
     
  • 4.29, Аноним (29), 13:21, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Интернет-форматы уродливы сами по себе. Напр. ты решил поделиться информацией о своей поездке в какую-нибудь глубинку.

    Свой сайт: это дорого и вряд ли у многих есть дизайнерский вкус чтобы его оформить, навыки и оборудование профессионального фотографа чтобы были красивые фотоснимки, регулярные поездки чтобы сайт постоянно обновлялся.

    Вики: аналог своего сайта по сложности + отказ от авторских прав.

    Форум: свалка с не очень понятной модерацией.

    Выбор большинства - бездействие. И я их понимаю.

     
     
  • 5.31, жека воробьев (?), 14:09, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Выбор большинства - бездействие. И я их понимаю.

    вы пропустили появление социальных сетей (одноклассники, фб, вк, инстаграм)?

     
     
  • 6.34, Попугай Кеша (?), 14:21, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чем это лучше? Вот приехали вы из путешествия, были на островах или в горах. У вас туча классных фоток.

    Делиться в соцсетях? Это как метать бисер перед свиньями. Потонет в ??вне. И уже ощущение, что и обесценились твои фотографии. Перед кем? Для чего?

    Так что да. Вариант - свой сайт. А еще вариант - старая добрая печать. Вы не представляете какое удовольствие оформить самому фотокнигу и распечатать на отличной матовой/глянцевой бумаге!

    Правда вы ее не покажете всем-всем-всем. А вот кому надо - покажете. И вообще - то, что недоступно - ценно.

    А соц.сети как раз и снижают ценность артефакта искусства или фото, или рассказа, или еще чего.

    Так что сайт, или печать. Или печать )

     
     
  • 7.35, Аноним (35), 14:31, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Обычно приехал и сразу забыл, фотки так на фотике и остались. Максимум скнинул на комп. Накой ты ты там шарашился с фотиком вообще непоятно.
    Попытка записать впечатления -самообман. ты потратил половину отпуска на это.
     
     
  • 8.36, Попугай Кеша (?), 14:33, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    При наличии прямых рук, желания и хорошего настроения - я бы назвал это другим с... текст свёрнут, показать
     
  • 8.39, Аноним (5), 14:47, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не пробовали вариант - не снимать в поездках совсем Пару последних раз испытал ... текст свёрнут, показать
     
     
  • 9.42, Аноним (29), 15:17, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пробовал События со временем забываются Особенно это касается экскурсионных по... текст свёрнут, показать
     
     
  • 10.45, Аноним (45), 15:29, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ценность качества фотографий для указанной вами цели как раз около нуля, ценны в... текст свёрнут, показать
     
     
  • 11.46, Аноним (29), 15:34, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кому как Обратил внимание, что посещая одни и те же места я делаю фотоснимки ... текст свёрнут, показать
     
     
  • 12.48, Попугай Кеша (?), 15:47, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чет у вас проблемы какие психологические Но не мне судить, конечно Сейчас зима... текст свёрнут, показать
     
  • 7.41, Гентушник (ok), 15:15, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Делиться в соцсетях? Это как метать бисер перед свиньями.

    Ну так свинья и метают бисер перед другими свиньями. Вы же сами говорите про "большинство".

     
  • 6.43, имя (?), 15:23, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    это те сайты, где загруженные данные тебе уже не принадлежат и компании могут распоряжаться ими как хотят? о да, это намного лучше личного сайта! А еще они замечательным образом не индексируются поисковиками и в Архиве Интернета не сохраняются.
     
     
  • 7.55, пох (?), 23:14, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > не индексируются поисковиками и в Архиве Интернета не сохраняются

    это хорошо. а то во-первых, жалко мощностей и так дохнущего архива, во-вторых, архив индексируется гуглем, и можно нечаянно перейти по ссылке. Представьте что будет, если он таки будет содержать всю канализацию из вконтактика-хипстаграмчика-мордокниги - вы ж это развидеть ни за какие деньги уже не сможете.

     
  • 2.21, Аноним (21), 12:05, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Спасение только статическая генерация и всё. Других выходов не существует.
     
     
  • 3.40, Аноним (5), 14:49, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для статической генерации как раз предназначены простые CMS, одна из которых была упомянута. Безо всяких скриптов и с плоскими файловыми БД. Совсем неплохо.
     
  • 3.44, Гентушник (ok), 15:23, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я помню как извращался с говносайтом одной маленькой компании - наклепал его на Drupal, а потом отзеркаливал копию wget-ом у себя на локалхосте и выкладывал полученное на хостинг (эти операции запихнул в скриптик ессно). Дёшево и сердито.

    Только вот причина такого странного поступка была совсем не безопасность, а то что хостинг был какой-то совсем стрёмный: то ли php не было, то ли не той версии, или поддержки СУБД не было...

     
     
  • 4.49, Аноним (49), 17:29, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Занимался такой же фигней. Давай обнимемся.
     
  • 2.52, vitalif (ok), 19:22, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Например, статический HTML!
     

  • 1.6, Dmitry77 (ok), 11:33, 14/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Сейчас уже для вордпреса есть плагины для Fediverse (децентрализованых и опенсорсных социальных сетей). Остальное - проприетарщина
     
     
  • 2.7, Аноним (25), 11:36, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >децентрализованых и опенсорсных социальных сетей

    А зачем мне децентрализованное и опенсорснное "ненужно"?

     
     
  • 3.10, Аноним (25), 11:48, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто, если в реале показывать всем свой "глубокий внутренний мир" то побьют.
     
     
  • 4.37, Попугай Кеша (?), 14:34, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На то он и внутренний, что показывать не надо ) Он уже внешним становится
     
     
  • 5.50, Аноним (49), 17:30, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А вдруг у тебя там криптомайнер?
     
  • 5.51, Dmitry77 (ok), 19:17, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Fediverse - это возможность держать внутрений мир внутри а внешний снаружи.
    а у пользователей проприетарных соцсетей всё снаружи.
     

  • 1.20, Аноним (21), 12:04, 14/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Уязвимость на самом деле называется wordpress.
     
     
  • 2.23, Аноним (16), 12:06, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В контексте PHP и комьюнити WP, да.
     
     
  • 3.58, пох (?), 23:39, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у меня тут есть прекрасный сайт на джанге. К сожалению, бизнес-критикал. Изготовителя замуровали в подвале еще позапрошлого офиса (так ему и надо), поэтому даже промышленная некромантия не поможет - при смене площадки необратимо рвутся астральные связи.

    прекрасное пихоноподелие раз в день ловит sigsegv (причем без всяких гарантий что вот прямо с завтрашнего дня не начнет его ловить раз в секунду, например - совершенно неизвестно ведь, почему).

    Знаете что? Лучше бы это гуано было на php - я, вероятно, хотя бы смог бы локализовать проблему.
    Не говоря уже о том, что у нас разработчиков на ем цельный отдел.

     
     
  • 4.69, Аноним2 (?), 00:01, 16/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Целый отдел гуано? :scream:
     
     
  • 5.70, пох (?), 20:29, 16/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    понимаешь, вот они ни разу ко мне не приходили с проблемой "у нас непойми от чего в самом интерпретаторе случается sigsegv". Более того, на одной из прошлых работ, где было гораздо страшнее - четыре несовместимых версии php и прорва очень стремных модулей собранных методом pecl дай-г.на под хайлоадом - тоже не случалось (не приходить не могли, там я точно был бы в курсе)

    ну так и спрашивается, какая среда большее гуано - страшный и отвратительный пехепе, или прекрасный модный пихон с жангой?

     

  • 1.28, Аноне (?), 13:21, 14/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да причем тут пыхп, если с полпинка и в продакшен штампуют сайты. Я изза этого не иду в отрасль вебдева, что клиенту еще нужно донести, почему качественное предложение по цене и срокам больше чем у большинства.
     
     
  • 2.38, Попугай Кеша (?), 14:35, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В корпорейт-секторе все понятнее. Вот лопата, вот навоз. Берешь и копаешь. Пусть и веб, зато зарплата хорошая.
     
     
  • 3.59, пох (?), 23:42, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    с навозом все нормально - липнет и воняет. Но лопату выдали не совковую, и даже не снегоуборочную, а детскую для песочницы. В результате ты в навозе, все в навозе, вонь страшенная, а таск так и не продвинулся к закрытию.

    зарплата, кстати, может включать kpi, который окажется недовыполненным, поскольку измеряется в тоннах перекопанного навоза.

    типикал корпорейт сектор, нонеча.

     
  • 2.54, Аноним (54), 22:42, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Критерий качества кто определяет? Независимый аудит? Или "мамой клянус!"?
     
     
  • 3.65, Аноне (?), 09:28, 15/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя бы наличие тестеров, не говоря действительно уж об аудите. И не штамповка мышкой из готовых чужих компонентов. А это все повышает цену и сроки
     

  • 1.30, arisu (ok), 13:49, 14/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    да нормально всё, какие проблемы? социализация же: вот пусть социум сайтами и рулит.
     
  • 1.66, InuYasha (?), 11:14, 15/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Потому что сосальные кнопки - это плохо и не нужно.
     
  • 1.67, ОнанВарвар (?), 11:15, 15/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда такого не было, и вот опять.
    В пустыне внезапно обнаружен песок! - Вот это поворот!
    --
    Давно известно что качество дополнений ниже плинтуса...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру