https://www.opennet.me/openforum/vsluhforumID3/116573.html В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена (https://www.webarxsecurity.com/wordpress-plugin-simple-social-buttons/) критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons (https://wordpress.org/plugins/simple-social-buttons/) позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).<br><br><br>Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.2 https://www.opennet.me/openforum/vsluhforumID3/116573.html#70 Sat, 16 Feb 2019 17:29:30 GMT понимаешь, вот они ни разу ко мне не приходили с проблемой "у нас непойми от чего в самом интерпретаторе случается sigsegv". Более того, на одной из прошлых работ, где было гораздо страшнее - четыре несовместимых версии php и прорва очень стремных модулей собранных методом pecl дай-г.на под хайлоадом - тоже не случалось (не приходить не могли, там я точно был бы в курсе)<br><br>ну так и спрашивается, какая среда большее гуано - страшный и отвратительный пехепе, или прекрасный модный пихон с жангой?<br><br> https://www.opennet.me/openforum/vsluhforumID3/116573.html#69 Fri, 15 Feb 2019 21:01:51 GMT Целый отдел гуано? :scream:<br> https://www.opennet.me/openforum/vsluhforumID3/116573.html#68 Fri, 15 Feb 2019 15:29:13 GMT Всё-таки кто-то баги по безопасности находит, информирует об этом комьюнити и даже пилит патчи. На самом деле таким товарищам респект. Но популярные CMS в плане качества кода - адЪ и скрежет зубовный... <br> https://www.opennet.me/openforum/vsluhforumID3/116573.html#67 Fri, 15 Feb 2019 08:15:51 GMT Никогда такого не было, и вот опять.<br>В пустыне внезапно обнаружен песок! - Вот это поворот!<br>--<br>Давно известно что качество дополнений ниже плинтуса...<br> https://www.opennet.me/openforum/vsluhforumID3/116573.html#66 Fri, 15 Feb 2019 08:14:12 GMT Потому что сосальные кнопки - это плохо и не нужно.<br> https://www.opennet.me/openforum/vsluhforumID3/116573.html#65 Fri, 15 Feb 2019 06:28:08 GMT Хотя бы наличие тестеров, не говоря действительно уж об аудите. И не штамповка мышкой из готовых чужих компонентов. А это все повышает цену и сроки<br> https://www.opennet.me/openforum/vsluhforumID3/116573.html#62 Fri, 15 Feb 2019 06:10:45 GMT В случае вордпреса и жумлы - это независимое написание кода сотнями _хомячков_. Ни о каком анализе там давно уже и речи не идёт.<br> https://www.opennet.me/openforum/vsluhforumID3/116573.html#61 Fri, 15 Feb 2019 03:13:52 GMT Обожаю фанатов "свободного" софта. Они везде видят бэкдоры и заговоры. А ведь казалось бы, надо радоваться, что независимый анализ кода сотнями _хомячков_ энтузиастов позволяет находить баги...<br> https://www.opennet.me/openforum/vsluhforumID3/116573.html#60 Thu, 14 Feb 2019 20:47:38 GMT погоди, а нафига мне плагин - изолированный, не имеющий доступ к базе, с урезанными привиллегиям? (ну хрен с ним с внешним кодом, хотя вообще-то вон сам вротпресс ты небось тоже откуда-то загрузил, не лично побайтно набрал?)<br>он чего в результате делать-то сможет?<br><br>См прекрасную историю гуглоулучшаек, нечаянно (или не совсем?) победивших ubo. Зато безопастно!<br><br><br>