Информационные технологииStfw.Ru 🔍
🕛

В новой версии WordPress 4.2.3 исправлена XSS-уязвимость и ряд других брешей

Эксплуатация XSS-бреши позволяет злоумышленниками получить контроль над web-сайтами.Эксплуатация XSS-бреши позволяет злоумышленниками получить контроль над web-сайтами. Вчера, 23 июля,
Эксплуатация XSS-бреши позволяет злоумышленниками получить контроль над web-сайтами.




Вчера, 23 июля, команда разработчиков блог-платформы WordPress выпустила корректирующее обновление WordPress 4.2.3, в котором исправлена уязвимость межсайтового скриптинга, эксплуатация которой позволяет злоумышленникам получить контроль на web-порталами.


По словам одного из разработчиков Гэри Пендергаста, эксплуатация данной бреши позволяет атакующим с уровнем пользователя Участник (Contributor) или Автор (Author) скомпрометировать интернет-ресурс.


Межсайтовый скриптинг - это один из самых распространенных видов хакерской атаки на прикладном уровне. Целью XSS является внедрение в страницу скриптов, которые обычно выполняются на стороне клиента (в браузере пользователя), а не на сервере. XSS-уязвимость позволяет злоумышленникам внедрить вредоносный код HTML, javascript, Flash и др. и обойти защиту wp_kses, обманом вынуждая жертву загрузить и исполнить вредоносный скрипт. Это, в свою очередь, позволяет атакующему получить доступ к важным данным пользователя, включая cookie-файлы.


Помимо прочего, обновление WordPress 4.2.3 включает исправления для ряда не критических брешей, одна из которых позволяет пользователю с ролью Подписчик (Subscriber) публиковать черновики, используя функцию Quick Draft.

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.