Украинские хакеры объявили о серьезной уязвимости в WordPress
В Интернет партии Украины, основанной бывшим хакером Дмитрием Голубовым, объявили об обнаружении уязвимости в движке WordPress.
«Штатным хакером Интернет партии Украины Dementor’ом была обнаружена активная XSS в популярном движке WordPress, который сейчас очень активно используется на многих веб сайтах. Уязвимость присутствует из-за недостаточной фильтрации входящих данных. Проверенные версии WordPress: 3.5 и 3.5.1 (возможно есть и на более ранних), проверенные браузеры: Opera и Google Chrome», — рассказал основатель партии.
Чтобы пользоваться уязвимостью, нужно иметь права редактора или администратора. При размещении в тело сообщения JavaScript-кода, указанного на сайте партии (и на изображении ниже), злоумышленник получает возможность атаковать всех пользователей, которые зайдут посмотреть контент на сайте. В партии говорят, что уже сообщили об уязвимости разработчикам WordPress.
В партии также сообщили, что проверки различных ресурсов UA-IX показали множество уязвимостей в зоне gov.ua.
Напомним, именно активисты партии в феврале взломали сайт киевской юстиции и предложили министру юстиции Александру Лавриновичу «Давай, до свидания!». Такие действия объяснялись протестом против запрета Интернет партии Украины (решением суда от 23 января этого года).
Комментарии | 6
>> Чтобы пользоваться уязвимостью, нужно иметь права редактора или администратора.
Ндя… Уязвимость на уровне супер вируса для *nix запустить rm -rf с под root)
Нужно же как то партию попиарить.
Ну ввиду множества уязвимостей в различных плагинах вордпресса, а так же бажного ПО серверов, получить доступ к админке не составляет большого труда.
ЛОоооол %)
Більше, більше жовтих заголовків! Ми це любимо!™
Текст переоптимизирован по запросу «партия» =)