Найдена "дыра" в безопасности сайтов на базе WordPress

27.06.2018, 17:23
Найдена
Фото - Getty Images

Программисты обнаружили уязвимость в системе управления контентом WordPress.

Об говориться в отчете компании RIPS.

Как оказалось, программисты уведомили разработчиков WordPress о проблеме еще в ноябре прошлого года, однако она до сих пор остается неисправленной.

Уязвимость затрагивает ядро системы, а не один из ее плагинов или тем. Если точнее, она связана с функциями PHP, отвечающими за удаление превью загружаемых на сайт изображений.

По словам исследователей, пользователи с доступом к области редактирования публикаций и возможностью загружать и удалять изображения и их превью могут внедрить в сайт вредоносный код, способный удалить ключевые файлы ядра WordPress. В нормальных условиях подобные действия невозможно осуществить без доступа к FTP-серверу.

Наличие возможности проэксплуатировать данную уязвимость только у пользователей с определенным уровнем доступа существенно снижает ее опасность. Однако, как отмечают исследователи, если атакующий создаст учетную запись пользователя с ограниченными привилегиями, а затем повысит их, он сможет проэксплуатировать уязвимость и взломать сайт.

Взлом сайта возможен за счет того, что уязвимость позволяет удалить его конфигурационный файл (wp-config.php). Злоумышленник может удалить файл, а затем переустановить его с использованием собственных настроек базы данных.

Проблема затрагивает все версии WordPress, в том числе актуальную 4.9.6. Несмотря на отсутствие патча со стороны производителя, исследователи RIPS представили собственное временное решение.

Напомним, Twitter вводит идентификацию пользователей для борьбы со спамом

Болотник Вадим
Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.

Комментарии

Последние новости