Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Утилита для полного удаления из системы драйверов видео от AMD и NVIDIA. С помощью DDU вы сможете удалить драйверы полно...
Программа для определения занятого места на жестком диске. TreeSize позволяет найти файлы и папки, которые занимают боль...
XviD4PSP - удобный и качественный мультиформатный конвертер на основе AviSynth. Конвертирует файлы для PSP, PS3, XBOX 36...
Многофункциональный календарь-планировщик с функциями напоминателя, будильника, синхронизатора с КПК на базе Windows Mob...
Утилита, расширяющая возможности стандартного буфера обмена. Программа запоминает наиболее часто копируемую в буфер инфо...
OSzone.net Новости IT В популярном плагине для WordPress закрыта серьёзная уязвимость RSS

В популярном плагине для WordPress закрыта серьёзная уязвимость

Текущий рейтинг: 5 (проголосовало 4)
 Посетителей: 313 | Просмотров: 332 (сегодня 0)  Шрифт: - +

Владельцы сайтов на системе управления контентом WordPress с популярным плагином All in One SEO Pack должны как можно скорее установить обновление. Выпущенная в пятницу версия плагина закрывает уязвимость, способную давать доступ к учётным записям администраторов сайтов. Плагин предлагает оптимизации, призванные увеличить видимость сайта в поисковых системах. Статистика говорит о более чем миллионе активных установок All in One SEO Pack.

Уязвимость находится в функции Bot Blocker и может быть задействована дистанционно отправкой запроса HTTP со специально подобранными заголовками. Функция Bot Blocker обнаруживает и блокирует спам-ботов на основе значений заголовков user agent и referer, о чём рассказал нашедший уязвимость исследователь Давид Ваарджес.

Если активна настройка Track Blocked Bots (по умолчанию отключена), плагин записывает все заблокированные запросы и отображает их на странице HTML в панели администратора сайта. Поскольку плагин не может надлежащим образом обработать запросы перед их отображением, хакеры получают возможность внедрить вредоносный код на JavaScript в заголовки запросов, который станет частью страницы HTML.

Это открывает доступ атакам межсайтового скриптинга, когда код может выполняться при каждом просмотре этой страницы. Так как речь идёт об администраторах, злоумышленники могут украсть метки (session tokens). Эти метки представляют собой хранящиеся внутри браузера значения, которые позволяют сайту узнавать зашедшего в учётную запись пользователя. Поместив эти метки в свои браузеры, атакующие могут зайти на сайт под видом его администратора.

Компания Semper Fi Web Design выпустила версию All in One SEO Pack 2.3.7, где уязвимость закрыта.

Автор: Алексей Алтухов  •  Иcточник: pcworld.com  •  Опубликована: 12.07.2016
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.