https://opennet.me/openforum/vsluhforumID3/100244.html Все сайты, основанные на системе управления контентом WordPress 3.x и допускающие размещение комментариев к публикациям, подвержены опасной уязвимости (http://klikki.fi/adv/wordpress_press.html), позволяющей атакующему разместить специально оформленный комментарий, при просмотре которого будет выполнен JavaScript код злоумышленника. Для демонстрации опасности выявленной проблемы была подготовлена атака, позволившая незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий, и использования перехваченной информации для создания новой привилегированной учётной записи и использования редактора плагинов для организации выполнения PHP-кода на сервере.<br><br><br><br> Недавно представленный выпуск WordPress 4.0 проблеме не подвержен, но разработчики выпустили (https://wordpress.org/news/2014/11/wordpress-4-0-1/) корректирующий выпуск WordPress 4.0.1, в который интегрированы некоторые дополнительные механизмы защиты. На данный выпуск рекомендовано срочно перейти всем пользо https://opennet.me/openforum/vsluhforumID3/100244.html#22 Thu, 27 Nov 2014 13:08:06 GMT &gt; Япон-батон, дак хоть бы права на скрипты на чтение выставляли.<br>&gt; Глядишь, и ломалось бы поменьше.<br><br>Вы что, глупые? Тут проблема в слабой валидации входных данных. При этом не важно на чем она сделана. А права на чтение ... админу? А админить он как потом будет? Может компьютер сразу от сети отключить? Так хакеры уж точно обломаются.<br> https://opennet.me/openforum/vsluhforumID3/100244.html#21 Thu, 27 Nov 2014 13:06:25 GMT &gt; Учитывая, сколько дыр регулярно находят (а сколько ещё не нашли!) в Wordpress <br><br>И сколько? Обычно дыры - в всяких левых дополнениях. В самом вордпрессе их мало.<br><br>&gt; и Joomla, сайты на этих движках можно считать перманентно скомпрометированными.<br><br>Как ни странно - и с ней та же история. <br><br>Ну и кроме того оба продукта популярны. Да, в Pupkin's CMS дыр нет. Потому что хакеры никак не могут найти хоть 1 инсталляцию, чтобы попытаться ее сломать :)<br><br> https://opennet.me/openforum/vsluhforumID3/100244.html#20 Tue, 25 Nov 2014 16:34:36 GMT Япон-батон, дак хоть бы права на скрипты на чтение выставляли.<br>Глядишь, и ломалось бы поменьше.<br> https://opennet.me/openforum/vsluhforumID3/100244.html#19 Tue, 25 Nov 2014 10:54:29 GMT &gt; Для тех, кто не может срочно мигрировать на ветку 4.0, подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5. <br><br>Или Аноним читает новость через строчку?<br> https://opennet.me/openforum/vsluhforumID3/100244.html#18 Tue, 25 Nov 2014 08:00:19 GMT Это php, ничего не поделать.<br> https://opennet.me/openforum/vsluhforumID3/100244.html#17 Tue, 25 Nov 2014 07:35:52 GMT Ха! В Битриксе дыры заботливо создают сами разрабы платформы, ведь это хлеб для специально обученных обезьян.<br> https://opennet.me/openforum/vsluhforumID3/100244.html#16 Tue, 25 Nov 2014 07:21:18 GMT О! Сотрудники битрикса подвалили. Чо, продажи падают?<br> https://opennet.me/openforum/vsluhforumID3/100244.html#15 Tue, 25 Nov 2014 04:19:11 GMT Учитывая, сколько дыр регулярно находят (а сколько ещё не нашли!) в Wordpress и Joomla, сайты на этих движках можно считать перманентно скомпрометированными.<br> https://opennet.me/openforum/vsluhforumID3/100244.html#14 Mon, 24 Nov 2014 19:33:45 GMT Тогда и Drupal туда же. Недавно сказали, что все сайты, кто не успел обновиться, являются скомпрометированными. <br>