• Главная
  • Карта сайта
Не найдено

XSS-уязвимость в Jetpack и Twenty Fifteen

Опубликовано: 02.09.2018

Команда Sucuri нашла уязвимость в пакете Genericons, который используется в плагине Jetpack, и во многих темах для WordPress, включая стандартную тему Twenty Fifteen.

Пакет векторных иконок Genericons

Данная уязвимость позволяет злоумышленнику использовать файл example.html, который поставляется вместе с пакетом иконок Genericons , для внедрения произвольного кода JavaScript. Это дает возможность атакующему прочитать куки посетителей и получить доступ в административную панель WordPress.

Сотрудники Sucuri также опубликовали пример запроса, раскрывающий данную уязвимость:

http://example.org/wp-content/themes/twentyfifteen/genericons/example.html#1<img src=1 onerror=alert(1) />

Обновление Jetpack 3.5.3 устраняет эту уязвимость, но Jetpack далеко не единственный продукт использующий данный пакет иконок. Всем пользователям WordPress рекомендуется проверить все (активные и неактивные) темы и плагины на наличие файла example.html, чаще всего в директории genericons или css/genericons, и удалить этот файл, или запретить его отображение с помощью конфигурации веб-сервера.

Многие хостинг-провайдеры уже позаботились о безопасности своих клиентов и избавились от этого файла на своих площадках.

Обновление : WordPress 4.2.2 ищет и удаляет файлы example.html из директорий themes и plugins при обновлении.

Будьте осторожны!

Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью

rss