The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В WordPress 5.1.1 устранена уязвимость, позволяющая получить контроль над сайтом

14.03.2019 08:18

Опубликован корректирующий релиз системы управления web-контентом WordPress 5.1.1, в котором устранена CSRF-уязвимость, позволяющая совершить атаку на администратора сайта для выполнения кода на сервере.

Предложенная атака требует, чтобы администратор сайта на базе WordPress открыл в своём браузере подготовленную злоумышленниками страницу, содержащую код для эксплуатации CSRF-уязвимости в обработчике комментариев WordPress. Уязвимость проявляется только на сайтах с включенной поддержкой отправки комментариев. При открытии вредоносной страницы в браузере администратора, от его имени создаётся комментарий к одной из записей на сайте.

Так как администратор обладает расширенными полномочиями по использованию HTML-тегов в комментариях, имеется возможность через манипуляцию с текстом, подставляемым в атрибут "title" тега "а href", добиться выполнения произвольного JavaScript-кода (передать строку вида '" onmouseover=evilCode()'). Имея возможность запуска JavaScript в контексте сеанса администратора можно отправить запрос в управляющий web-интерфейс и организовать выполнение PHP-кода через изменение PHP-файлов темы оформления.

В новом выпуске также добавлено предупреждение о повышении требований к версии PHP. Начиная с выпуска WordPress 5.2 в качестве минимально поддерживаемой версии будет заявлен PHP 5.6. Также планируется поднять требования к версии MySQL до ветки MySQL 5.5. По предварительной оценке около 15% пользователей WordPress 5.0 используют версию PHP ниже 5.6 и им потребуется обновить свои системы. Что касается MySQL, то версии ниже MySQL 5.5 применяет всего 1.5% пользователей WordPress 5.0.

  1. Главная ссылка к новости (https://wordpress.org/news/201...)
  2. OpenNews: Раскрыты детали уязвимости в WordPress 5.0.0
  3. OpenNews: В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками
  4. OpenNews: Релиз системы управления web-контентом WordPress 5.0 с новым web-редактором
  5. OpenNews: Критическая уязвимость в WordPress-плагине "Simple Social Buttons"
  6. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (39) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.3, istepan (ok), 08:45, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Стоит отдать должное.
    Зашел в админку, нажал кнопку и все обновлено.
    Сделал сайт и знай себе обновляй. Благодаря поддержке совместимости плагины не отваливаются.

    Дырявым он кажется исключительно из-за своей популярности.

    Единственный минус - это спагетти код и неудобное api при написании расширений и плагинов.

     
     
  • 2.5, Онаним (?), 09:08, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    К тому моменту, как ты вспомнишь про админку, твой хостинг уже будет напичкан мейлерами и прочим добром. И это не умозаключение, это практика - у меня полно клиентов с этим добром, которые бэкап раскатывают периодически.
     
     
  • 3.6, Онаним (?), 09:08, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И да. Хуже только Joomla.
     
     
  • 4.7, _hide_ (ok), 09:12, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А Вы не ставьте расширений с помоек...
     
     
  • 5.36, Аноним (36), 16:55, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да мы-то его вообще не юзаем, так-то. На условных 100 клиентов с загруженной малварью за год - 50 на жумле и 40 на вп.
     
     
  • 6.38, Anonim (??), 21:52, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    За какой год? 2013? Мы про текущее положение дел разговор ведём
     
     
  • 7.45, Аноним (36), 10:31, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С разморозкой. На дворе 2019, так что за 2017 и 18. Впрочем, обилия юзающих версии 15-16 года, потому что апгрейд проблематичен, никто тоже не отменял. У нас до сих пор полно клиентов на пыхе 5.2 и 5.3, потому что их код выше не работает, а адаптировать некому.
     
     
  • 8.49, Anonim (??), 20:32, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так вы определись бы сначала - новый php 2013 или древняя Joomla... текст свёрнут, показать
     
  • 4.12, Владимир (??), 09:57, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интересно чем? В Joomla не появляются уязвимости каждый месяц
     
  • 4.13, Вадии (?), 09:58, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О да жумла конечно хуже за два года нет критических уязвимостей. В то время как вп стабильно пару раз в год.
     
     
  • 5.22, zzz (??), 13:07, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В линуксе тоже когда-то не было критических уязвимостей, а как только началось широкое распространение - посыпался ворох CVE.
     
  • 3.10, istepan (ok), 09:49, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не знаю, у меня три сайта на сопровождении, два года - полет нормальный.
     
     
  • 4.46, Аноним (36), 10:35, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Целых три? Преклоняю голову.

    Тут маленький хостинг на десяток тысяч клиентов, с него (с абюзтима) и статистика.

     
     
  • 5.47, istepan (ok), 11:33, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Целых три? Преклоняю голову.
    > Тут маленький хостинг на десяток тысяч клиентов, с него (с абюзтима) и
    > статистика.

    Дело не в WP, дело во владельцах сайтов. Устанавливают взломанные темы и плагины со встроенными бэкдорам. Не следят за обновлением движка и плагинов.
    Короче все как всегда.

     
  • 3.48, Добрыйсурамаритянин (?), 19:08, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Стоит последняя WP, при входе в админку встречает надпись Wordpress обновлен до версии 5.1.1! Автоматическое обновление будет происходить и далее.... И одна только кнопка переустановить wp-ruru. ЧЯДНТ
     
  • 2.15, Аноним (15), 11:40, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    для того что-бы так обновлять нужно открыть ftp доступ что уже не безопасно
     
     
  • 3.19, istepan (ok), 12:21, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Там без ftp все обновляется.
    Скачивается архив и распаковывается.
     
     
  • 4.24, forum reader (?), 13:10, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    WP для работы нужны права на запись только в папочку upload.
    Если у http демона отобрать права на запись в остальные файлы-папки отвалится автоматическое обновление и большинство уязвимостей.

     
     
  • 5.31, ff (??), 16:05, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    иногда приходится выбирать между возможностью обновления и уязвимостями =)
     
  • 2.39, Who know (?), 23:13, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Например линукс популярен, и что он тоже такой же дырявый?
     
     
  • 3.43, имя (?), 05:19, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    видишь суслика? а он есть.
     

  • 1.4, Онаним (?), 09:07, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Критическая уязвимость в WP - это очень ново и свежо. Там счёт ещё на тысячи, или уже на десятки тысяч?
     
  • 1.11, OldMonster (ok), 09:57, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Ещё 999 вёдер, и ключик - наш!"
     
  • 1.16, Аноним (16), 11:41, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А если реально, что посоветуете WP или Joomla?
     
     
  • 2.18, th3m3 (ok), 12:17, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Что угодно, не на php.
     
     
  • 3.20, Аноним (16), 12:23, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А что тогда руби?
     
     
  • 4.25, forum reader (?), 13:11, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Lotus Notes Domino!
     
  • 2.21, istepan (ok), 12:41, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смотря для чего.
    Если простой сайт, новости, форма обратной связи, простенький каталог, то WP подойдет.
    В Joomla будет посложнее админка для обычного пользователя, зато удобней разрабатывать функционал.

    Если хочется интернет магазин, то лучше смотреть opensource cms для интернет магазинов. Всякие prestashop и opencard. Там тоже есть свои особенности.

    Если сами разбираетесь в php или есть толковый спец, то лучше писать используя фремворки. В СНГ популярен Yii2. Проблем найти разработчика не составит труда.

    Писать на других языках, как тут пишут некоторые кадры, нет смысла, так как php (c 7-й версии) сейчас достаточно взрослый язык.
    Если и писать, то на других языках нет толковых библиотек и фремворков. Те что есть слишком сложные и разработка выйдет в существенную копеечку.
    Однако если нужен микросервис, то лучше Golang не найти, но как правило у людей знающих что такое "микросервис" вопросов в выборе инструмента возникает.

     
  • 2.23, zzz (??), 13:08, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Drupal
     
  • 2.26, Ключевский (?), 13:56, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Будь брутален, юзай hugo! Пиши свои страницы в markdown, коммить их в гит и генерь при помощи hugo. А главное научи это делать какого-нибудь заказчика, который компа боится, как огня
     
     
  • 3.35, Аноним (35), 16:34, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет никакой проблемы сделать приватную админку на другом хосте что будет засылать маркдаун куда надо и генерить. И само же выкладывать в S3.
     
  • 3.37, Аноним (37), 18:20, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Делал так уже. Именно хьюго, гит и макрдауном. На рабочем столе иконка "Опубликовать изменения". Notepad++ для создания и редактирования текстов. Ко всему в довесок две пдфки. В одной шпаргалка по маркдауну, во второй описание как оно устроено внутри простым языком для простых смертных. Запустил в 2017 году, с тех пор звонили дажды. Один раз когда случайно иконку удалили, второй когда их виртуалка легла по моему недосмотру. Давай лут и следующий квест.
     
  • 2.34, YetAnotherOnanym (ok), 16:32, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    <trollmode>
    Treefrog
    Zotonic
    Kemal
    Lapis
    </trollmode>
     
  • 2.40, Kaiwas (?), 00:09, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    modx неплох
     
     
  • 3.44, Аноним (36), 10:28, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чессгря, модх - пока лучшее, что я видел. Но для webdev-wannabe он слишком сложен и прост, не говоря уже об интернет-хомячках.
     

  • 1.17, Аноним (17), 12:10, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > В WordPress 5.1.1 устранена уязвимость

    В смысле РНР убрали?

     
     
  • 2.41, Аноним (41), 02:03, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    😆😆😆
     

  • 1.27, Глеб (?), 14:21, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Никогда не было и вот опять
     
  • 1.50, Аноним (50), 14:45, 21/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему-то из консоли после обновления пропал раздел ссылки
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру