`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Миллион сайтов под угрозой из-за ошибки в популярном модуле WordPress

+11
голос
Миллион сайтов под угрозой из-за ошибки в популярном модуле WordPress

Исследователи из фирмы Sucuri обнаружили серьёзную уязвимость в популярном подключаемом модуле Jetpack, предлагающем владельцам веб-сайтов WordPress бесплатные возможности оптимизации, администрирования и защиты. Этот плагин, насчитывающий свыше миллиона активных установок, разработала компания Automattic, создатель WordPress.com и инициатор открытого проекта WordPress.

Проблема, получившая название cross-site scripting (XSS), актуальна для всех выпусков Jetpack, начиная с версии 2.0 четырёхлетней давности. Она коренится в модуле Shortcode Embeds Jetpack, позволяющем внедрять внешние видео, твиты, документы и другие ресурсы в содержимое сайта. Атака организуется размещением кода на JavaScript в комментариях.

Этот скрипт выполняется каждый раз, когда пользователи просматривают в браузере данный комментарий. Он может применяться для кражи куки, используемых для аутентификации, в том числе административных сессий; для перенаправления посетителей к другим эксплойтам или для внедрения SEO-спама.

Разработчики Jetpack вместе с командой безопасности WordPress распространяют исправления через базовую систему автоматических обновлений WordPress. Кроме того, дефект отсутствует в вариантах Jetpack, начиная с 4.0.3. С прицелом на пользователей, не желающих обновляться до последней версии, также подготовлены точечные релизы для всех 21 уязвимых разновидностей из кодовой базы Jetpack.

Вы можете подписаться на нашу страницу в LinkedIn!

+11
голос

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT