Уразливості в Wordfence Security для WordPress
23:53 18.10.2012Сьогодні я виявив Cross-Site Scripting та Insufficient Anti-automation уразливості в плагіні Wordfence Security. Це секюріті плагін для WordPress. Дані уразливості я виявив на security-testlab.com. Про що найближчим часом повідомлю розробникам веб додатку.
Стосовно плагінів для WordPress раніше я писав про уразливості в Floating Tweets.
XSS:
Insufficient Anti-automation:
Немає захисту (капчі) від автоматизованого підбору емайла адміна. А якщо знати емайл адміна, то таким чином можна буде автоматизовано спамити йому листами з сайта.
Уразливі Wordfence Security 3.3.5 та попередні версії.
P.S.
Після мого повідомлення, розробник виправив дані уразливості в версії 3.3.7. Але при цьому IAA дірка була виправлена неякісно.