Cookie Authentication уразливість в WordPress

23:54 30.04.2008

В листопаді минулого року була виявлена Cookie Authentication уразливість в WordPress (про наявність даної особливості роботи з кукісами було відомо й раніше). При наявності доступу до БД можна відтворити кукіс будь-якого користувача системи.

Ця особливість реалізації не є сама по собі небезпечною. Але, при наявності витоку інформації з бази даних, або SQL Injection, вона може бути використана для комплексної атаки на сайт.

Вразливі версії WordPress від 1.5 по 2.3.3. Новий підхід до роботи з кукісами був запроваджений в WordPress 2.5. В якому була виявлена уразливість (причому тим же секюріті дослідником Steven Murdoch) в роботі нового механізму управління кукісами.

  • Wordpress Cookie Authentication Vulnerability (деталі)

Leave a Reply

You must be logged in to post a comment.