Безпека шаблонів для WordPress
22:43 09.02.2011Про безпеку плагінів для WordPress я вже писав, а зараз розповім стосовно безпеки шаблонів для WP.
Так само як і плагіни, шаблони (теми) для WordPress також мають уразливості. І окрім уразливостей в самому WordPress, часто уразливості мають місце в плагінах та темах для WP, про які я писав неодноразово. Тому розробники шаблонів для даного движка (як і розробники плагінів) повинні також слідкувати за безпекою.
Серед знайдених мною уразливостей в шаблонах:
- XSS в темі WordPress Classic 1.5
- XSS в темах Blix та Blix Rus для WordPress
- Уразливості в темі Live Wire Edition для WordPress
- Уразливості в темі The Gazette Edition для WordPress
- Уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress
- Уразливості в багатьох темах для WordPress (з TimThumb) - таких як Bookclub, Fresh News, BoldNews, Placeholder, Biznizz, Auld, Listings, Elefolio, Chapters, Continuum, Diner, Skeptical, Caffeinated, Crisp, Sealight, Unite, Estate, The Morning After, Coda, Inspire, Apz, Spectrum, Diarise, Boast, Retreat, City Guide, Cinch, Slanted, Canvas, Postcard, Delegate, MyStream, Optimize, Backstage, SophisticatedFolio, Bueno, Digital Farm, Headlines, f0101, Royalle, Exposure, Therapy, Rockstar, Daily Edition, Object, Antisocial, Coffee Break, Mortar, Big Easy, Mainstream, Groovy Photo, Groovy Blog, Feature Pitch, Suit and Tie, The Journal, myweblog, Aperture, Meta-Morphosis, Bloggingstream, The Station, Groovy Video, Productum, Newsport, Irresistible, Cushy, WooTube, Foreword Thinking, Geometric, Abstract, Busy Bee, BlogTheme, Gotham News, THiCK, Typebased, Over Easy, Ambience, Snapshot, Open Air, Fresh Folio, Papercut, ProudFolio, VibrantCMS, Flash News, NewsPress та The Original Premium News
- Уразливість в темі Mimbo Pro для WordPress
- Information Leakage та XSS уразливості в багатьох темах для WordPress - таких як Live Wire, Gotham News, Typebased, Blogtheme, VibrantCMS, Fresh News, The Gazette Edition, NewsPress, The Station, The Original Premium News, Flash News, Busy Bee та Geometric
- Уразливості в темі Magazeen
- В TimThumb, що використовується у багатьох темах для WP, також є Arbitrary File Upload уразливість
- Уразливості в темі Affinity BuddyPress
- Численні уразливості в численних темах для WordPress - таких як Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant 2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune та Meridian
- Численні уразливості в нових темах для WordPress - таких як Voxel, Diametric, Ionosphere, Clarion, Halcyon, Visage, Enigma, Momentum, Radiance, Camber, Reflex, Modulus, Nebulae, Entropy, Tachyon, Mercado, Maelstrom, Syndicate, Paradox, Hybrid, Omnicron, Zephyr, Panacea, Somaxiom, Juxta, Quantive, Crystalline, Kinetic, Dominion, Reaction, Akiraka, Novus та Grunge
- IL, XSS, FPD, AoF, DoS і AFU уразливості в темі Daily Edition Mouss для WordPress
- Численні уразливості в темі Chocolate WP для WordPress
- Численні уразливості в темі Flash News для WordPress
- Уразливості в ZeroClipboard в численних темах для WordPress - таких як Montezuma, Striking, Couponpress, Azolla та Black and White
- Уразливості в темі Slash WP для WordPress
- Численні уразливості в темі Colormix для WordPress
- Численні уразливості в численних темах для WordPress з jPlayer - таких як Studiozen, Photocrati, Music, Imperial Fairytale та Feather12
- Уразливості в численних темах для WordPress з VideoJS - таких як Covert VideoPress, Photolio, Source, Smartstart та Crius
- XSS та FPD уразливості в темі I Love It New для WordPress
- XSS, CS та FPD уразливості в темі I Love It для WordPress
- Уразливості в численних темах з CU3ER для WordPress - таких як ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio
- Численні уразливості в Flexolio для WordPress
- Численні уразливості в темі Refraction для WordPress
В даних 26 описах уразливостей наводяться численні Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Information Leakage, Arbitrary File Upload та Content Spoofing уразливості в 173 шаблонах (темах) для WordPress.
Неділя, 01:59 06.03.2011
Як я зазначив у записі Уразливості в багатьох темах для Drupal, дірки зустрічаються не тільки в темах для WordPress, але й для Drupal. А також в темах для ExpressionEngine, Joomla та Dotclear.