WordPress Forum

Продукт: WordPress

Версия: 2.6.2

Генерация небезопасных паролей в WordPress.

Описание:

Уязвимость позволяет удаленному пользователю произвести брут-форс атаку.

Уязвимость существует из-за того, что приложение использует нестойкий генератор псевдо случайных чисел для генерации паролей. Удаленный пользователь может совместно с другими атаками восстановить автоматически сгенерированный пароль администратора приложения.

Решение: Установите последнюю версию 2.6.2 с сайта производителя.

Подробнее: http://wordpress.org/development/2008/09/wordpress-262/

Плагин: WP Comment Remix

Версия: до 1.4.4

Множественные уязвимости в WordPress WP Comment Remix.

Описание:

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в сценарии wpcommentremix.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости злоумышленник должен иметь привилегии администратора приложения.

2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед выполнением некоторых действий. Удаленный пользователь может произвести CSRF нападение.

3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "p" в сценарии ajax_comments.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Решение: Установите последнюю версию 1.4.4 с сайта производителя.

Странно почему разработчики wp неборяться с этими дырами.

У меня сайт на теме Simple Balance Theme  вроде установил кучу защищающих плагов,  произвел множество настроек безопасности, как можно проверить блог на уязвимость?

Отредактировано Yaroslavovich (08.01.2012 02:57)