Украинские хакеры обнаружили уязвимость в Wordpress

Штатный хакер Интернет партии Украины Dementor обнаружил активную XSS в популярном движке Wordpress, который сейчас используется на многих веб сайтах. Об этом сообщает пресс-служба партии.

"Уязвимость присутствует из-за недостаточной фильтрации входящих данных. Проверенные версии WordPress: 3.5 и 3.5.1 (возможно есть и на более ранних), проверенные браузеры: Opera и Google Chrome", - заявил лидер Интернет партии Украины Дмитрий Голубов.

Чтобы воспользоваться уязвимостью нужно, иметь права редактора или администратора, то есть права на размещение/редактирование новостей. Уязвимость срабатывает при размещении в тело сообщения специального JavaScript кода.

В результате злоумышленник может получить возможность атаковать всех пользователей, которые просто зайдут почитать размещенную новость или статью. При определенных манипуляциях с кодом можно также заразить массу посетителей сайта вирусом, перенаправляя их на вредоносный сайт.

Напомним, в апреле WordPress столкнулась с масштабной BruteForce-атакой, целью которой являлось получение контроля над пользовательскими блогами и размещением в них вредоносного контента и ссылок. Против системы Wordpress работала большая ботсеть, состоящая из как минимум 90 тыс. зараженных компьютеров.