В WordPress исправлена опасная уязвимость

В WordPress исправлена опасная уязвимость

Брешь позволяла внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.

На этой неделе  состоялся  релиз WordPress 4.2, получившей название Powell. Кроме того, был выпущен WordPress 4.2.1, исправляющий опасную  уязвимость , позволявшую внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.

Как  сообщил  исследователь безопасности cedric, проэксплуатировать брешь можно с помощью манипуляций с 4-байтовыми символами Unicode. Атака возможна из-за того, что MySQL поддерживает только 3-байтовые символы и при появлении 4-байтового по умолчанию отрезает конец строки. Используя это, злоумышленник может обойти код чистки html-тегов в WordPress. По словам эксперта уязвимость затрагивает версии WordPress 4.1.1 и более ранние версии.

Напомним , что на этой неделе эксперты из Sucuri сообщили о том, что по меньшей мере 17 популярных плагинов для WordPress содержат XSS-уязвимость. 


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!