22:19
23/11/2014

Do wersji 3.9.2 WordPressa możliwe jest wstrzyknięcie kodu JavaScript w komentarzach (atak XSS). Znalazca błędu zademonstrował jak za jego pomocą (kod odpali się nie tylko na widoku posta, ale również w panelu zarządzania) można skasować ślad ataku, a następnie wykonać dowolną akcję administratora (dodanie użytkownika) lub odpalić własny kod PHP po stronie zaatakowanego serwera.

Błąd znajdował się w kodzie od 4 lat. Z wersji 3.9.2 WordPressa (i niższych) wciąż korzysta 80% serwisów…

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

8 komentarzy

Dodaj komentarz
  1. No niebezpiecznik, aktualizujcie a nie czekacie.

  2. No niby mówią że jest, ale ni cholery nie wiadomo jak to wykorzystać, a w tym ich teście to tylko jakieś nawiasy kwadratowe i onrazki.

    • *obrazki

  3. Powinniście dawać jakieś ostrzeżenia, gdy linkujecie do stron, które swoim wyglądem ranią oczy…

  4. Niebezpiecznik nie ma odwagi puszczać z wolnej stopy wszystkich komentarzy więc ten wektor ataku tu nie zadziała, chyba że świadomie puści komentarz “krzaki”…

    • Ale przecież chodzi o to, żeby exploitować admina ;)

  5. Mam pytanie ogólnie o XSS – czy w miejscach gdzie wprowadzana przez użytkowników treść nie jest nigdzie zapisywana takie XSS jest niebezpieczne (tzn. np. wyszukiwarka podatna na XSS)?

    • Skrypt i tak nam przez serwer przetwarza, więc wsadzając swój kod możemy doprowadzić do wyplucia ostatecznie czegoś, co producent nie chciałby ujawnić światu :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: