WordPress is een zeer populair persoonlijk het publiceren blogging platform van platformaka (met een primitieve CMS) in gebruik helemaal over het Web. Er is een aantal ernstige veiligheidskwetsbaarheid in WordPress die een aanvaller kan toestaan om willekeurige code inzake het kwetsbare systeem uiteindelijk in werking te stellen. Jammer genoeg geloven de auteurs in veiligheid-door-dubbelzinnigheid. Hier zijn de details.

De kwetsbaarheid omvat SQL Injectie, DwarsPlaats Scripting, de Verre Uitvoering van de Code, de Vergeten Kwesties van de Veiligheid van het Wachtwoord en geeft ook uit die een aanvaller in sociale techniek zoals de Volledige Onthulling van de Weg kunnen helpen. Een bijgewerkte versie van WordPress (versie 1.5.1.3) is beschikbaar (automatische flardverbetering van WordPress 1.5.1.2 aan 1.5.1.3) en de gebruikers worden sterk geadviseerd om onmiddellijk te bevorderen.

Om een voorbeeld te geven:

Dwars Plaats Scripting:
Er zijn een aantal dwarsplaats scripting kwesties in het persoonlijke het publiceren WordPress platform.

http://wordpress/wp-admin/post.php?action=confirmdeletecomment&p=1&
comment=22%3E%3Cscript%3Ealert (document.cookie) %3C/script%3E%3C/script%3E

http://wordpress/wp-admin/post.php?action=confirmdeletecomment&p=1
22%3E%3Cscript%3Ealert (document.cookie) %3C/script%3E%3C/script%3E&comment=2

Alhoewel deze kwetsbaarheid in de adminsectie is beschouw ik als hen nog een hoger risico dan normaal omdat als een aanvaller de het koekjesgegevens van een admin toen heeft hij een koekje smeden, tot de adminsectie kan toegang hebben, en willekeurige code uitvoeren door kwaadwillige php in het bestaan op te nemen plugin. Ook, als u denkt dat de referrercontrole in wordpress deze bepaalde kwetsbaarheid toen verhindert bent u verkeerd.

De verdere details op de kwetsbaarheid en exploiteren.

De moraal van het verhaal is verbetering en doet nu het.