WordPress исправляет критическую проблему внедрения PHP-объектов

person access_time29-01-2019, 21:49 visibility555 chat_bubble_outline0

Исправлена ошибка раскрытия информации с высокой оценкой CVSS

В последнем выпуске безопасности WordPress исправлена проблема с удаленным использованием инъекций объектов PHP с базовым баллом 10,0, что позволяет злоумышленникам в режиме удаленного доступа выполнять произвольный код в целевой системе.
«Сэм Томас обнаружил, что участники могут создавать метаданные таким образом, чтобы это приводило к внедрению объектов PHP», - говорит команда Wordpress.

Согласно OWASP Foundation, «PHP Object Injection - это уязвимость на уровне приложения, которая может позволить злоумышленнику выполнять различные виды вредоносных атак, таких как внедрение кода, SQL-инъекция, обход пути и отказ в обслуживании приложения, в зависимости от контекста».
Этот тип уязвимости заключается в неправильной очистке пользовательского ввода перед его передачей для обработки в функцию PHP unserialize.

В случае проблемы безопасности, исправленной в выпуске WordPress 5.0.3, потенциальные злоумышленники, которые успешно скомпрометируют целевую систему, могут выполнить произвольный код.
Всем пользователям WordPress рекомендуется выполнить обновление до версии 5.0.3, чтобы заблокировать возможные атаки, которые могут привести к состоянию внедрения объекта PHP.

Wordpress также исправляет множество уязвимостей XSS и обход ограничений

Wordpress 5.0.3 также исправляет две уязвимости обхода ограничений безопасности, которые могут позволить удаленным злоумышленникам обойти защиту на атакуемой системе и создавать сообщения со специально созданным вводом.
Кроме того, в этом выпуске безопасности исправлены три проблемы межсайтового скриптинга (XSS), которые потенциально могут привести к краже конфиденциальной информации, атакам с диска при загрузке, фальсификации веб-страницы и фишинговым атакам.

В блоге WordPress о безопасности выпуска говорится, что «специально созданные вводы URL-адресов могут привести к уязвимости межсайтового скриптинга в некоторых обстоятельствах. Сам WordPress не был затронут, но в некоторых ситуациях плагины могут быть уязвимы».
Удаленные злоумышленники могут использовать целевые веб-серверы, на которых установлены непатентованные версии WordPress, чтобы использовать уязвимость раскрытия информации для доступа к адресам электронной почты и паролям по умолчанию.
tagsКлючевые слова
Ctrl
Enter
Заметили ошЫбку
Выделите и нажмите Ctrl+Enter

Другие статьи

O&O ShutUp10++ для полного управления конфиденциальностью в Windows 11

O&O ShutUp10++ для полного управления конфиденциальностью в Windows 11

person77moroz access_time13-окт-2021

Еще в те дни, когда Windows 10 была самой новой операционной системой, интегрированная система

WinRAR лучший архиватор из себе подобных

WinRAR лучший архиватор из себе подобных

person77moroz access_time03-ноя-2020

WinRAR - это усовершенствованная утилита сжатия данных, которая поддерживает широкий спектр

Добавить комментарий

Комментарии (0)