В Интернет партии Украины, основанной бывшим хакером Дмитрием Голубовым, объявили об обнаружении уязвимости в движке WordPress.
“Штатным хакером Интернет партии Украины Dementor’ом была обнаружена активная XSS в популярном движке WordPress, который сейчас очень активно используется на многих веб сайтах. Уязвимость присутствует из-за недостаточной фильтрации входящих данных. Проверенные версии WordPress: 3.5 и 3.5.1 (возможно есть и на более ранних), проверенные браузеры: Opera и Google Chrome”, – рассказал основатель партии.
Чтобы пользоваться уязвимостью, нужно иметь права редактора или администратора. При размещении в тело сообщения JavaScript-кода, указанного на сайте партии (и на изображении ниже), злоумышленник получает возможность атаковать всех пользователей, которые зайдут посмотреть контент на сайте. В партии говорят, что уже сообщили об уязвимости разработчикам WordPress.
В партии также сообщили, что проверки различных ресурсов UA-IX показали множество уязвимостей в зоне gov.ua.
Напомним, именно активисты партии в феврале взломали сайт киевской юстиции и предложили министру юстиции Александру Лавриновичу «Давай, до свидания!». Такие действия объяснялись протестом против запрета Интернет партии Украины (решением суда от 23 января этого года).