События

Представлены PoC-эксплоиты для двух уязвимостей в WordPress

Представлены PoC-эксплоиты для двух уязвимостей в WordPress

Независимый исследователь безопасности Давид Голунски (Dawid Golunski) представил PoC-эксплоит для уязвимости в WordPress 4.6 (CVE-2016-10033), позволяющей удаленно выполнить код. Эксперт также раскрыл подробности об уязвимости (CVE-2017-8295) в последней версии популярной CMS.

Уязвимость CVE-2016-10033 присутствует в библиотеке PHPMailer и может эксплуатироваться неавторизованным удаленным атакующим для получения контроля над сервером приложения, где установлена уязвимая версия ядра WordPress (с настройками по умолчанию). Как пояснил Голунски, для успешного осуществления атаки не нужны никакие дополнительные плагины или особые настройки. Проблема была исправлена в январе текущего года с выходом WordPress 4.7.1.

Голунски также раскрыл информацию и представил PoC-эксплоит для еще неисправленной уязвимости CVE-2017-8295. Проблема была обнаружена в середине 2016 года, и в частности Голунски нашел уязвимость в версии WordPress 4.3.1.

Как пояснили эксперты из BeyondSecurity, функция сброса пароля в CMS содержит уязвимость, позволяющую третьей стороне при определенных условиях получить ссылку для сброса пароля без предварительной аутентификации. Таким образом, злоумышленник может осуществить атаку и получить контроль над чужой учетной записью WordPress.

По словам Голунски, разработчики WordPress получили множество уведомлений о проблеме, однако никак не отреагировали. В итоге исследователь решил раскрыть подробности об уязвимости.

Источник

Автор: Сергей Куприянов
5.05.2017 (10:37)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.