Уразливості в WordPress та Akismet

23:51 06.07.2013

В останніх версіях WordPress було виправлено чимало уразливостей. Але є такі виправлені уразливості, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок). Про такі випадки я писав неодноразово, вони полюбляють це робити, і зараз наведу нові приклади.

Раніше я вже писав про FPD уразливість в WordPress.

З WordPress постачається плагін Akismet - він входить в ядро WP. В ньому періодично виправляють уразливості, але якщо в readme.txt плагіна розробники згадують про це, то в анонсах виправлень движка вони не згадують ні про ці дірки, ні про оновлення версії Akismet (з виправленими уразливостями), що постачається з новою версію движка. А в WP 3.5.1 та 3.5.2 були оновлені версії Akismet.

У версії WordPress 3.5.1 оновили Akismet з 2.5.6 до 2.5.7. В цій версії плагіна є виправлені уразливості, що додає виправлених дір в релізі 3.5.1. Зокрема виправили декілька Full path disclosure уразливостей та додали .htaccess для блокування прямого доступу до файлів плагіна (що актуально лише для Apache).

У версії WordPress 3.5.2 оновили Akismet з 2.5.7 до 2.5.8. В цій версії плагіна є секюріті покращення (які саме не уточнюється), що додає виправлених дір в релізі 3.5.2.


Leave a Reply

You must be logged in to post a comment.