Websecurity - Веб безпека

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема FPD при завантаженні файлів та XSS при інсталяції/оновленні плагінів або тем. Хоча дану XSS вони оформили як одну дірку, але це дві XSS уразливості (одна для плагінів, а інша для шаблонів).

Раніше я вже писав про XSS уразливості в WordPress.

Нещодавно, 01.07.2013, я дослідив дані Full path disclosure та Cross-Site Scripting уразливості.

Full path disclosure (WASC-13):

Має місце FPD при завантаженні файлів. Якщо не може закачатися файл в папку для закачки, то в повідомленні про помилку присутній повний шлях.

Cross-Site Scripting (WASC-08):

XSS має місце при інсталяції чи оновленні плагінів або тем. Якщо в імені файла чи папки плагіна або теми присутній XSS код, то він виконається при інсталяції чи оновленні цього плагіна або теми.

Уразливі версії WordPress 3.5.1 та попередні версії.

This entry was posted on 23:57 02.07.2013 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.