Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

В новой версии WordPress устранено семь уязвимостей

14/12/18

WordPressРазработчики представили первое обновление безопасности для свежей ветки WordPress 5.0, версию 5.0.1. Были исправлены семь критических багов, некоторые из которых позволяли перехватить контроль над уязвимым сайтом, а также закрыта потенциальная опасная утечка данных.

Последнюю обнаружили разработчики популярного плагина Yoast SEO. Оказалось, что в некоторых случаях экран активации, который видят новые пользователи, может быть проиндексирован Google. Используя составленные определенным образом поисковые запросы, потенциальный атакующий мог обнаружить такие страницы, собрать с них email-адреса, а порой и сгенерированные по умолчанию пароли.

Кроме того, в WordPress 5.0.1 появился более надежный процесс валидации MIME для загружаемых файлов. В сущности, до этой версии WordPress не требовал, чтобы файлы проходили жесткую верификацию MIME, то есть их содержимое могло не совпадать с расширением. К примеру, бинарник мог быть загружен под видом .jpg. Разработчики пишут, что изменения не должны оказать сильного влияния на большинство форматов, однако в некоторых случаях файлы придется переименовывать и скорректировать расширение (так документы OpenOffice придется конвертировать из .pptx в .ppxs).

Обновлением механизма валидации MIME решили заботиться после того, как ИБ-специалисты Тим Коэн (Tim Coen) и Славко Михайловски (Slavco Mihajloski) заметили, что на Apache-серверах авторы могут загружать специально созданные файлы, позволяющие обмануть валидацию MIME, что в итоге приводило к возникновению XSS-уязвимости.

Темы:WordPressОтрасль
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...