http://wpforum.ru WordPress Forum http://backend.userland.com/rss Yaroslavovichhttp://wpforum.ru/viewtopic.php?pid=976#p976 976@http://wpforum.ru <p>У меня сайт на теме Simple Balance Theme&nbsp; вроде установил кучу защищающих плагов,&nbsp; произвел множество настроек безопасности, как можно проверить блог на уязвимость?</p> Sun, 08 Jan 2012 02:09:00 +0400 maximumhttp://wpforum.ru/viewtopic.php?pid=974#p974 974@http://wpforum.ru <p><strong>Тема:</strong> WordPress Simple Balance<br /><br /><strong>Версия:</strong> 2.x<br /><br /><a href="http://www.securitylab.ru/vulnerability/409488.php" title="http://www.securitylab.ru/vulnerability/409488.php">Межсайтовый скриптинг в WordPress Simple Balance Theme</a><br /><br /><strong>Описание:</strong><br /><br />Уязвимость позволяет удаленному пользователю произвести XSS нападение.<br /><br />Уязвимость существует из-за недостаточной обработки входных данных в параметре &quot;s&quot; в сценарии wp-content/themes/simplebalance/search.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.<br /><br /><strong>Решение:</strong> Способов устранения уязвимости не существует в настоящее время.<br /><br /><strong>Подробнее:</strong> <a href="http://paparosse.blogspot.com/2011/10/simple-balance-20-cross-site-scripting.html" title="http://paparosse.blogspot.com/2011/10/simple-balance-20-cross-site-scripting.html">http://paparosse.blogspot.com/2011/10/s &hellip; pting.html</a></p> Sat, 07 Jan 2012 21:15:14 +0400 Axsimenhttp://wpforum.ru/viewtopic.php?pid=593#p593 593@http://wpforum.ru <p>Странно почему разработчики wp неборяться с этими дырами. :(</p> Fri, 03 Sep 2010 01:07:39 +0400 maximumhttp://wpforum.ru/viewtopic.php?pid=275#p275 275@http://wpforum.ru <p><strong>Плагин:</strong> Newsletter<br /><br /><strong>Версия:</strong> 2.x<br /><br /><a href="http://www.securitylab.ru/vulnerability/361861.php" title="http://www.securitylab.ru/vulnerability/361861.php">SQL-инъекция в WordPress Newsletter</a>.<br /><br /><strong>Описание:</strong><br /><br />Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.<br /><br />Уязвимость существует из-за недостаточной обработки входных данных в параметре &quot;newsletter&quot; в сценарии stnl_iframe.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.<br /><br />Пример:<br /><br />http://[host]/wp-content/plugins/st_newsletter/stnl_iframe.php?newsletter=-9999+UNION+SELECT+concat(user_login,0x3a,user_p<br /><br /><strong>Решение:</strong> Способов устранения уязвимости не существует в настоящее время.</p> Sat, 01 Nov 2008 19:11:23 +0300 maximumhttp://wpforum.ru/viewtopic.php?pid=274#p274 274@http://wpforum.ru <p><strong>Плагин:</strong> WP Comment Remix<br /><br /><strong>Версия:</strong> до 1.4.4<br /><br /><a href="http://www.securitylab.ru/vulnerability/361301.php" title="http://www.securitylab.ru/vulnerability/361301.php">Множественные уязвимости в WordPress WP Comment Remix</a>.<br /><br /><strong>Описание:</strong><br /><br />Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.<br /><br />1. Уязвимость существует из-за недостаточной обработки входных данных в сценарии wpcommentremix.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости злоумышленник должен иметь привилегии администратора приложения.<br /><br />2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед выполнением некоторых действий. Удаленный пользователь может произвести CSRF нападение.<br /><br />3. Уязвимость существует из-за недостаточной обработки входных данных в параметре &quot;p&quot; в сценарии ajax_comments.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.<br /><br /><strong>Решение:</strong> Установите последнюю версию 1.4.4 с сайта производителя.</p> Sat, 01 Nov 2008 18:24:59 +0300 maximumhttp://wpforum.ru/viewtopic.php?pid=273#p273 273@http://wpforum.ru <p><strong>Продукт:</strong> WordPress MU<br /><br /><strong>Версия:</strong> до 2.6<br /><br /><a href="http://www.securitylab.ru/vulnerability/360414.php" title="http://www.securitylab.ru/vulnerability/360414.php">Межсайтовый скриптинг в WordPress MU</a>.<br /><br /><strong>Описание:</strong><br /><br />Уязвимость позволяет удаленному пользователю произвести XSS нападение.<br /><br />Уязвимость существует из-за недостаточной обработки входных данных в параметрах &quot;s&quot; и &quot;ip_address&quot; в сценарии wp-admin/wp-blogs.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. <br /><br /><strong>Решение:</strong> Установите последнюю версию 2.6 с сайта производителя.</p> Sat, 01 Nov 2008 17:42:54 +0300 maximumhttp://wpforum.ru/viewtopic.php?pid=263#p263 263@http://wpforum.ru <p><strong>Продукт:</strong> WordPress<br /><br /><strong>Версия:</strong> 2.6.2<br /><br /><a href="http://www.securitylab.ru/vulnerability/359379.php" title="http://www.securitylab.ru/vulnerability/359379.php">Генерация небезопасных паролей в WordPress</a>.<br /><br /><strong>Описание:</strong><br /><br />Уязвимость позволяет удаленному пользователю произвести брут-форс атаку.<br /><br />Уязвимость существует из-за того, что приложение использует нестойкий генератор псевдо случайных чисел для генерации паролей. Удаленный пользователь может совместно с другими атаками восстановить автоматически сгенерированный пароль администратора приложения.<br /><br /><strong>Решение:</strong> Установите последнюю версию 2.6.2 с сайта производителя.<br /><br /><strong>Подробнее:</strong> <a href="http://wordpress.org/development/2008/09/wordpress-262/" title="http://wordpress.org/development/2008/09/wordpress-262/">http://wordpress.org/development/2008/09/wordpress-262/</a></p> Tue, 30 Sep 2008 11:19:44 +0400 maximumhttp://wpforum.ru/viewtopic.php?pid=103#p103 103@http://wpforum.ru <p>Постоянно обновляющийся список уязвимостей WordPress:<br />1. <a href="http://www.securitylab.ru/vulnerability/page1_1.php" title="http://www.securitylab.ru/vulnerability/page1_1.php">SecurityLab</a><br />2. <a href="http://forum.antichat.ru/showthread.php?t=50572" title="http://forum.antichat.ru/showthread.php?t=50572">Antichat</a></p> Thu, 10 Jan 2008 08:17:13 +0300