Уразливості в плагінах для WordPress №110

22:49 12.07.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Private Messages, Xorbin Analog Flash Clock та Xorbin Digital Flash Clock. Для котрих з’явилися експлоіти. WP Private Messages - це плагін для відправлення приватних повідомлень, Xorbin Analog Flash Clock - це аналоговий годинник на флеші, Xorbin Digital Flash Clock - це цифровий годинник на флеші.

  • WordPress WP-Private-Messages SQL Injection (деталі)
  • Xorbin Analog Flash Clock 1.0 For WordPress XSS (деталі)
  • Xorbin Digital Flash Clock 1.0 For WordPress XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.


4 відповідей на “Уразливості в плагінах для WordPress №110”

  1. Dementor каже:

    Плагіни взагалі краще старатися не юзати.

  2. MustLive каже:

    Без сумніву плагіни та шаблони до WP (чи інших движків) містять уразливості. Що додасть нових дірок на сайт, якщо їх використовувати. Але іноді вони потрібні, коли в движку немає якогось функціоналу і потрібно його додати на сайт. В таких випадках потрібно проводити аудит цих плагінів і шаблонів движка.

  3. Dementor каже:

    Ну потрібну функцію можна додати і вручну. без плагіну.

  4. MustLive каже:

    Щоб її додати, потрібно вміти програмувати (тобто до більшості власників сайтів це не підійде, мало хто з них є веб розробником), тому для них зовнішні компоненти - це єдиний варіант. При цьому, в самописному коді також можуть бути уразливості, тому його теж слід перевіряти. Так що будь-то движок, або сторонній чи власний код - все це потрібно перевіряти на уразливості.

    Сам я більшу частину додаткових функцій додав в WP сам. Але деякі плагіни все ж таки використовую, зокрема капчу (не було бажання створювати власну капчу). При цьому провівши аудит і виправивши уразливість в цьому плагіні ;-) .

Leave a Reply

You must be logged in to post a comment.