В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками
14 декабря 2018 года
Спустя неделю с момента выхода новой ветки системы управления web-контентом WordPress 5.0 сформирован корректирующий релиз 5.0.1, в котором устранено 7 уязвимостей:
- Страница активации нового пользователя могла индексироваться поисковыми системами, что при определённых настройках могло привести к утечке через поисковики email-адресов и сгенерированных по умолчанию паролей;
- Пользователи могли через манипуляции с мета-данными выполнить подстановку объектов и инициировать выполнение своего PHP-кода;
- Авторы могли изменить метаданные для инициирования удаления файлов, не имея на это полномочий;
- Авторы могли размещать неразрешённые им типы публикаций через манипуляции с параметрами запроса;
- Непривилегированные участники могли редактировать новые комментарии более привилегированных пользователей (в том числе могли подставить в комментарии JavaScript-код, если автор изначального комментария имел на это полномочия);
- Возможность организации межсайтового скриптинга через указание специально оформленных ссылок (непосредственно WordPress не подвержен проблеме, но уязвимость проявляется при использовании некоторых плагинов);
- Возможность организации межсайтового скриптинга через загрузку авторами контента специально модифицированных файлов, которые позволяют обойти проверку MIME-типов на системах под управлением http-сервера Apache (WordPress определял MIME-тип по расширению без учёта содержимого, что, например, позволяет загрузить phar-файл в файле с расширением ".jpg" при проведении атак "Phar deserialization").
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.