Непоправена дупка в WordPress

Дискусията в 'Wordpress Форум' стартирана от KISS, Юни 27, 2018.

  1. KISS

    KISS Active Member

    Рег.:
    Ноем 8, 2009
    Съобщения:
    792
    Харесвания:
    98
    Точки:
    28
    Здравейте.

    Имало в момента дупка в сигурността на WordPress, която позволява на всеки който може да качва файлове (ниво автор) да изтрие всеки файл, включително wp-config.php. Така може да направи инсталацията на ново с негови данни и да получи пълен достъп.

    Допълнителна информация:
    https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/
    https://www.bleepingcomputer.com/news/security/unpatched-flaw-disclosed-in-wordpress-cms-core/

    Плъгин който решава проблема временно докато го оправят:
    https://github.com/kkarpieszuk/rips_hotfix

    Ако нямате други потребители освен вашия и са забранени регистрациите, нямате проблем.

    Поздрави.
     
    NEROMARE, Blinky и imagination харесват това.
  2. scorebg

    scorebg Active Member

    Рег.:
    Септ 15, 2011
    Съобщения:
    719
    Харесвания:
    79
    Точки:
    28
    Неприятно, но как ще уцели потребителя и паролата на базата данни , за нова инсталация?
     
  3. TheEntrepreneur

    TheEntrepreneur Active Member

    Рег.:
    Дек 2, 2012
    Съобщения:
    345
    Харесвания:
    41
    Точки:
    28
    Регистрациите не са ли автоматично на ниво Потребител?
     
    Последно редактирано: Юни 29, 2018
  4. KISS

    KISS Active Member

    Рег.:
    Ноем 8, 2009
    Съобщения:
    792
    Харесвания:
    98
    Точки:
    28
    @scorebg
    Хмм, не знам. В първия линк има превю как се прави, но стигат само до прозореца, в който се въвеждат данни за базата.

    @TheEntrepreneur
    Да, по подразбиране са така.
     
  5. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    23
    Харесвания:
    7
    Точки:
    3
    Пол:
    Мъж
  6. NEROMARE

    NEROMARE Active Member

    Рег.:
    Юли 4, 2018
    Съобщения:
    149
    Харесвания:
    122
    Точки:
    43
    Пол:
    Мъж
    Точно така, на ниво Потребител са, освен ако не е упоменато изрично! И повечето Уордпрес сайтове така или иначе са няк'ви Корпоративни сайтчета, не са за Новини или Портали. С изключени опции за рег са демек. В смисъл, колко луд трябва да е човек да изгради новинарски на Уордпрес. Ше ме извиняват Девьелопьерчетата!

    @KISS
    Иначе мерси за файнд-а, ама ако бях на твое място, щях да го сложа това в Спойлер. Да не се вижда от всеки, да не се индексира и да не изскача по търсачките! Все още имам останал морал, затова те съветвам да скриеш тая дупка да не я чете сульо и пульо, за да не пострадат хора заради теб! Колко му е някое хлапе да ти прочете поста и да тръгне да думва рандом сайтове. Не всеки си обновява Уордпреса редовно. Не всеки разбира от сигурност.

    Даже бих те съветвал, скрий целия текст, промени си заглавието, ползвай някакъв синоним на "дупка", въобще направи го така ние да го разберем, но не и външни лица. А първото ти изречение "Имало в момента дупка в сигурността на WordPress" — смени го с нещо като "Проблематика с Уордпрес", или защо не "Намерих проблемче с Уордпрес".

    Со здравjе!
     
    Последно редактирано: Юли 16, 2018 в 9:07 PM

Сподели страницата

  1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies.
    Dismiss Notice