The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в WordPress-плагине "Simple Social Buttons"

14.02.2019 10:39

В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).

Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.



  1. Главная ссылка к новости (https://www.webarxsecurity.com...)
  2. OpenNews: В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками
  3. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  4. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  5. OpenNews: Доля WordPress среди крупнейших сайтов достигла 30%
  6. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
Лицензия: CC-BY
Тип: Программы
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (2), 10:52, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Да, выглядит именно как "уязвимость", а не бэкдор.
    Полон опасностей personal-home-page-мирок.
     
     
  • 2.16, Аноним (16), 11:59, 14/02/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Flat File CMS не такой!!!
     
  • 2.61, IRASoldier (?), 06:13, 15/02/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Обожаю фанатов "свободного" софта. Они везде видят бэкдоры и заговоры. А ведь казалось бы, надо радоваться, что независимый анализ кода сотнями _хомячков_ энтузиастов позволяет находить баги...
     
     
  • 3.62, Онаним (?), 09:10, 15/02/2019 [^] [ответить]    [к модератору]
  • +/
    В случае вордпреса и жумлы - это независимое написание кода сотнями _хомячков_. Ни о каком анализе там давно уже и речи не идёт.
     
     
  • 4.68, IRASoldier (?), 18:29, 15/02/2019 [^] [ответить]     [к модератору]
  • +1 +/
    Всё-таки кто-то баги по безопасности находит, информирует об этом комьюнити и да... весь текст скрыт [показать]
     
  • 1.3, Аноним (3), 11:05, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Вот тебе и "Simple"
     
  • 1.4, Онаним (?), 11:08, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Вот что бывает, когда не проверяешь входные данные с клиента.
     
     
  • 2.25, Аноним (25), 12:07, 14/02/2019 [^] [ответить]    [к модератору]  
  • +8 +/
    Вот что бывает когда плагины:
    * Не изолированны.
    * Исполняются с привилегиями основного кода.
    * Имеют доступ к базам данных.
    * Могут произвольно загружать внешний код.
    Такая система в принципе не может быть безопасной.
     
     
  • 3.32, Аноним (32), 14:16, 14/02/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    В рамках какой cms на php эта проблема плагинов решена?
    Где, вообще, эта проблема решена?
     
  • 3.33, Crazy Alex (ok), 14:18, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Зато может быть достаточно гибкой и не сильно прожорливой
     
     
  • 4.47, Аноним (25), 15:39, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    >позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress

    #гибкость #agile #runfastbreakthings

     
     
  • 5.57, annual slayer (?), 23:38, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    нет пулично доступной информации, что эти инвалиды используют agile

    но я тебе подыграю:
    а как waterfall бы это предотвратил?

     
  • 3.60, пох (?), 23:47, 14/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    погоди, а нафига мне плагин - изолированный, не имеющий доступ к базе, с урезанн... весь текст скрыт [показать]
     
  • 1.5, Аноним (5), 11:20, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кривые плагины с административными правами разрушат любую систему. Спасение от этого CMS-хаоса - минимализм. Например, WonderCMS.
     
     
  • 2.8, Аноним (25), 11:44, 14/02/2019 [^] [ответить]    [к модератору]  
  • +24 +/
    > Спасение от этого CMS-хаоса

    WEBанутым нет покоя.

    Домашнюю страницу? Обфзательно на WordPress! Даже если сайтик на 100% статический и обновляется раз в год. Не забываем установить 10 самых популярных плагинов!

    Картинки для сайтика? Обрезаем обязательно в PhotoShop последней версии ПроЭлитЛимитедЭдишон

    Хостимся? Обязательно в GoogleAzureAmazon cloud в контейнерах на кубеннетесе. Не менее чем в  5 инстансах сразу. Никто не знает выдержит ли ВордПресс наплыв десяти пользователей сразу!



     
     
  • 3.27, Аноним (27), 13:04, 14/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    this а мое решение просто - нифих такие гогносайты Их делают люди, не способные... весь текст скрыт [показать]
     
     
  • 4.29, Аноним (29), 13:21, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Интернет-форматы уродливы сами по себе Напр ты решил поделиться информацией о ... весь текст скрыт [показать]
     
     
  • 5.31, жека воробьев (?), 14:09, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    >Выбор большинства - бездействие. И я их понимаю.

    вы пропустили появление социальных сетей (одноклассники, фб, вк, инстаграм)?

     
     
  • 6.34, Попугай Кеша (?), 14:21, 14/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    А чем это лучше Вот приехали вы из путешествия, были на островах или в горах У... весь текст скрыт [показать]
     
     
  • 7.35, Аноним (35), 14:31, 14/02/2019 [^] [ответить]     [к модератору]  
  • +4 +/
    Обычно приехал и сразу забыл, фотки так на фотике и остались Максимум скнинул н... весь текст скрыт [показать]
     
     
  • 8.36, Попугай Кеша (?), 14:33, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    При наличии прямых рук, желания и хорошего настроения - я бы назвал это другим словом. Но если вы любите шарашиться - ничего не имею против )
     
  • 8.39, Аноним (5), 14:47, 14/02/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Не пробовали вариант - не снимать в поездках совсем Пару последних раз испытал ... весь текст скрыт [показать]
     
     
  • 9.42, Аноним (29), 15:17, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Пробовал События со временем забываются Особенно это касается экскурсионных по... весь текст скрыт [показать]
     
     
  • 10.45, Аноним (45), 15:29, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Ценность качества фотографий для указанной вами цели как раз около нуля, ценны в... весь текст скрыт [показать]
     
     
  • 11.46, Аноним (29), 15:34, 14/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Кому как Обратил внимание, что посещая одни и те же места я делаю фотоснимки ... весь текст скрыт [показать]
     
     
  • 12.48, Попугай Кеша (?), 15:47, 14/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Чет у вас проблемы какие психологические. Но не мне судить, конечно. Сейчас зима, солнца мало. Вы это, витаминчики какие что ли )
     
  • 7.41, Гентушник (ok), 15:15, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > Делиться в соцсетях? Это как метать бисер перед свиньями.

    Ну так свинья и метают бисер перед другими свиньями. Вы же сами говорите про "большинство".

     
  • 6.43, имя (?), 15:23, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    это те сайты, где загруженные данные тебе уже не принадлежат и компании могут ра... весь текст скрыт [показать]
     
     
  • 7.55, пох (?), 23:14, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    это хорошо а то во-первых, жалко мощностей и так дохнущего архива, во-вторых, а... весь текст скрыт [показать]
     
  • 2.21, Аноним (21), 12:05, 14/02/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    Спасение только статическая генерация и всё. Других выходов не существует.
     
     
  • 3.40, Аноним (5), 14:49, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Для статической генерации как раз предназначены простые CMS, одна из которых была упомянута. Безо всяких скриптов и с плоскими файловыми БД. Совсем неплохо.
     
  • 3.44, Гентушник (ok), 15:23, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Я помню как извращался с говносайтом одной маленькой компании - наклепал его на ... весь текст скрыт [показать]
     
     
  • 4.49, Аноним (49), 17:29, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Занимался такой же фигней. Давай обнимемся.
     
  • 2.52, vitalif (ok), 19:22, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Например, статический HTML!
     
  • 1.6, Dmitry77 (ok), 11:33, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Сейчас уже для вордпреса есть плагины для Fediverse (децентрализованых и опенсорсных социальных сетей). Остальное - проприетарщина
     
     
  • 2.7, Аноним (25), 11:36, 14/02/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    >децентрализованых и опенсорсных социальных сетей

    А зачем мне децентрализованное и опенсорснное "ненужно"?

     
     
  • 3.10, Аноним (25), 11:48, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Просто, если в реале показывать всем свой "глубокий внутренний мир" то побьют.
     
     
  • 4.37, Попугай Кеша (?), 14:34, 14/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    На то он и внутренний, что показывать не надо ) Он уже внешним становится
     
     
  • 5.50, Аноним (49), 17:30, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    А вдруг у тебя там криптомайнер?
     
  • 5.51, Dmitry77 (ok), 19:17, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Fediverse - это возможность держать внутрений мир внутри а внешний снаружи.
    а у пользователей проприетарных соцсетей всё снаружи.
     
  • 1.20, Аноним (21), 12:04, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Уязвимость на самом деле называется wordpress.
     
     
  • 2.23, Аноним (16), 12:06, 14/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    В контексте PHP и комьюнити WP, да.
     
     
  • 3.58, пох (?), 23:39, 14/02/2019 [^] [ответить]     [к модератору]  
  • +/
    у меня тут есть прекрасный сайт на джанге К сожалению, бизнес-критикал Изготов... весь текст скрыт [показать]
     
     
  • 4.69, Аноним2 (?), 00:01, 16/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Целый отдел гуано? :scream:
     
     
  • 5.70, пох (?), 20:29, 16/02/2019 [^] [ответить]     [к модератору]  
  • +/
    понимаешь, вот они ни разу ко мне не приходили с проблемой у нас непойми от чег... весь текст скрыт [показать]
     
  • 1.28, Аноне (?), 13:21, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Да причем тут пыхп, если с полпинка и в продакшен штампуют сайты. Я изза этого не иду в отрасль вебдева, что клиенту еще нужно донести, почему качественное предложение по цене и срокам больше чем у большинства.
     
     
  • 2.38, Попугай Кеша (?), 14:35, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    В корпорейт-секторе все понятнее. Вот лопата, вот навоз. Берешь и копаешь. Пусть и веб, зато зарплата хорошая.
     
     
  • 3.59, пох (?), 23:42, 14/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    с навозом все нормально - липнет и воняет Но лопату выдали не совковую, и даже ... весь текст скрыт [показать]
     
  • 2.54, Аноним (54), 22:42, 14/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Критерий качества кто определяет? Независимый аудит? Или "мамой клянус!"?
     
     
  • 3.65, Аноне (?), 09:28, 15/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Хотя бы наличие тестеров, не говоря действительно уж об аудите. И не штамповка мышкой из готовых чужих компонентов. А это все повышает цену и сроки
     
  • 1.30, arisu (ok), 13:49, 14/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    да нормально всё, какие проблемы? социализация же: вот пусть социум сайтами и рулит.
     
  • 1.66, InuYasha (?), 11:14, 15/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Потому что сосальные кнопки - это плохо и не нужно.
     
  • 1.67, ОнанВарвар (?), 11:15, 15/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Никогда такого не было, и вот опять.
    В пустыне внезапно обнаружен песок! - Вот это поворот!
    --
    Давно известно что качество дополнений ниже плинтуса...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor