Прореха в безопасности в WordPress позволяет манипулировать контентом

Дыра в защите WordPress: содержание блогов может быть изменено

Тем, кто еще не поторопился обновиться до WordPress 4.7.2, следует сделать это как можно скорее. Это обновление позволит, наряду с прочим, тихо и без суеты закрыть дыру в защите, которая позволяет посторонним лицам изменять контент в блогах на WordPress. Хотя версия WordPress 4.7.2 вышла в свет еще неделю назад, детали о проблеме с безопасностью были сообщены только сейчас. Разработчики говорят, что хотели дать пользователям время это обновление установить.

Конкретно говоря, речь шла о прорехе в безопасности вследствие ошибки в фильтрации на REST-API. Внедрено же API было в версии 4.7.0. Проблема: злоумышленники могут и без подтверждения ID через доступ API оказывать влияние на содержание блогов, изменяя их по своему усмотрению. Обнаружена была проблема безопасности разработчиком систем безопасности Sucuri, который опубликовал детали в своем блоге.

Дыра в защите WordPress: информационная политика – это предмет для дискуссий

То, что WordPress получил тайное обновление в версии 4.7.2, выглядит как минимум необычно. При этом при публикации обновления было указано, что хотя оно и закрывает дыры в безопасности, уровень таких проблем не являлся критическим. Но сделано это было потому, что существовала теоретическая возможность выявить дыру, проанализировав обновления.

Но и сейчас команда WordPress продолжает утверждать, будто бы не обнаружено никаких признаков того, что кто-то сумел воспользоваться прорехой защиты. Кроме того, команда разработчиков вслед за CMS опубликовала контакт обновления и у провайдеров CDN — Cloudflare, Sitelock и Incapsula. Также они ввели соответствующую процедуру, позволяющую проверять, пытается ли кто-то использовать дыру в защите. Хотя, конечно, без обновления гарантию безопасности дать не сможет никто.

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 оценок, среднее: 4,00 из 5)
Загрузка...
Ваш комментарий

  1. k0ttee:

    Человек заваривший само php смотрит на проверку вводимых пользователями данных перед отправкой в базу как на плохую идею. И что вы хотите от популярного движка, если автор технологии забивает на безопасность??? :-D