Уразливості в WordPress 2.x

23:55 17.10.2009

Наприкінці грудня 2008 року були оприлюднені Unauthorized upgrade та Cross-Site Scripting уразливості в WordPress. Уразливі всі версії WordPress 2.x, тому що дані уразливості не були виправлені.

У випадку, якщо WP на сайті не останньої версії, то використовуючи першу уразливість в WP, можна проводити неавторизований апгрейд движка, а використовуючи другу уразливість можна проводити XSS атаки (по кліку на лінку). Як я перевірив (в різних версіях WP), у випадку другої уразливості зовсім немає XSS, там можлива лише редирекція на довільний сайт (по кліку на лінку).

  • Wordpress is vulnerable to an unauthorized upgrade and XSS (деталі)

2 відповідей на “Уразливості в WordPress 2.x”

  1. ZEXEL каже:

    Доречі, хотів запитати де знайти скрипт або програму для брутфорсу WordPress блогів версій 2.3 - 2.8 ?

  2. MustLive каже:

    ZEXEL, у WordPress є Brute Force уразливість, про що я писав. Причому у всіх 2.x версіях (як і попередніх 1.x версіях). Якщо власники сайта не зробили захист від брутфорсу - власний чи за допомогою плагіна.

    Можеш використати той приклад програми для брутфорса, на який наводиться лінка у вищезгаданій новині. Вона може використовуватися як для WP 2.3 - 2.8, так і для всіх WP 2.x (й 1.x).

    Зазначу, що для брутфорсінга сайтів на WordPress (як і інших сайтів) ти можеш використати будь-який комерційний чи безкоштовний брутфорсер. Треба лише налаштувати додаток відповідним чином. Зокрема мною були розроблені (на початку 2008 року) відповідні додатки: Brute force login identifier (для підбору логінів) та Brute force password identifier (для підбору паролів).

Leave a Reply

You must be logged in to post a comment.