Websecurity - Веб безпека

Деякий час тому в WordPress були знайдені дві уразливості (низького ризику, але тим не менш) - Full path disclosure та Table Prefix disclosure (даний тип уразливостей я називаю SQL DB Structure Extraction).

Full path disclosure та Table Prefix disclosure:
http://site/index.php?m[]=

Уразливі версії WordPress 2.1 Alpha 3 та WordPress =>2.0.6. Версії WordPress <=2.0.5 вразливі лише до Full path disclosure (як я перевірив). Дірка пов'язана з тим, що при некоректному параметрі m, WP виводить повідомлення про помилку.

По замовчуванню Вордпрес виводить повідомлення про помилки, тим самим створюючі витоки важливої інформації. Я вже писав про подібні уразливості в WordPress знайдені мною. В даному випадку треба або перевіряти параметр m, або відключити виведення даних повідомлень (і тим самим виправити чимало дірок в WP).

• Wordpress disclosure of Table Prefix Weakness (деталі)

This entry was posted on 23:38 08.09.2007 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.