forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в WordPress-плагине 'Simple Social Bu..."
Отправлено opennews, 14-Фев-19 10:51

В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена (https://www.webarxsecurity.com/wordpress-plugin-simple-socia.../) критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons (https://wordpress.org/plugins/simple-social-buttons/) позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).

Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.
URL: https://www.webarxsecurity.com/wordpress-plugin-simple-socia.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50143

Исходное сообщение
"Критическая уязвимость в WordPress-плагине 'Simple Social Bu..." Отправлено opennews, 14-Фев-19 10:51
В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена (https://www.webarxsecurity.com/wordpress-plugin-simple-socia.../) критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons (https://wordpress.org/plugins/simple-social-buttons/) позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч). Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22. URL: https://www.webarxsecurity.com/wordpress-plugin-simple-socia.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=50143

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, 
> выявлена (https://www.webarxsecurity.com/wordpress-plugin-simple-social-buttons/) 
> критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social 
> Buttons (https://wordpress.org/plugins/simple-social-buttons/) позволяет адаптивно 
> подставлять кнопки отправки данных в социальные сети в различные части страницы 
> в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных 
> установок (число загрузок превышает 500 тысяч).

> Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, 
> включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице 
> wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта 
> и обновляет в таблице все указанные в нём настройки, не проверяя 
> их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная 
> с версии  2.0.4 и устранена в выпуске 2.0.22.

> URL: https://www.webarxsecurity.com/wordpress-plugin-simple-social-buttons/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50143

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру