WordPress is a very popular personal publishing platform aka blogging platform (with a primitive CMS) in use all over the web. WordPress является очень популярной платформы персональных издательских ака блоги платформы (с примитивным CMS) используются по всей сети. There are a number of serious security vulnerabilities in WordPress that may allow an attacker to ultimately run arbitrary code on the vulnerable system. Есть ряд серьезных уязвимостей в безопасности, WordPress, которые могут позволить злоумышленнику запустить в конечном счете произвольный код на уязвимой системе. Unfortunately the authors believe in security-by-obscurity. К сожалению, авторы верят в безопасность-за неясности. Here are the details. Вот подробности.

The vulnerabilities include “SQL Injection”, “Cross Site Scripting”, “ Уязвимостей относятся "SQL-инъекций", "Крест скриптинг", " Remote Code Execution Удаленное выполнение кода “, “Forgotten Password Security Issues” and also issues that may aid an attacker in social engineering like “Full Path Disclosure”. "," Забыл пароль вопросы безопасности ", а также вопросы, которые могут помощь атакующему в социальной инженерии, как" полный путь Раскрытие информации ". An updated version of Обновленная версия WordPress (version 1.5.1.3) WordPress (версия 1.5.1.3) is available ( имеется ( automatic patch upgrade from WordPress 1.5.1.2 to 1.5.1.3 автоматический патч обновления с WordPress 1.5.1.2 до 1.5.1.3 ) and users are strongly advised to upgrade immediately. ) И пользователям настоятельно рекомендуется обновить сразу.

To give an example: Для примера:

Cross Site Scripting: Крест скриптинг:
There are a number of cross site scripting issues in the WordPress personal publishing platform. Есть ряд перекрестных вопросов скриптинг в WordPress личные издательской платформы.

http://wordpress/wp-admin/post.php?action=confirmdeletecomment&p=1& http://wordpress/wp-admin/post.php?action=confirmdeletecomment&p=1 и
comment=22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3C/script%3E комментарий = 22% 3E% 3Cscript% 3Ealert (document.cookie)% 3C/script% 3E% 3C/script% 3E

http://wordpress/wp-admin/post.php?action=confirmdeletecomment&p=1
22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3C/script%3E&comment=2 22% 3E% 3Cscript% 3Ealert (document.cookie)% 3C/script% 3E% 3C/script% 3E и прокомментировать = 2

Even though these vulnerabilities are in the admin section I still consider them a higher risk than “normal” because if an attacker has an admin’s cookie data then he can forge a cookie, access the admin section, and execute arbitrary code by inserting malicious php into an existing plugin. Даже если эти уязвимости в админ разделе я по-прежнему считают их большему риску, чем "нормальных", потому что если злоумышленник имеет администратора в cookie данные, то он может сформировать маркера, доступ администратора раздела и выполнить произвольный код, вставив вредоносные php в существующих плагинов. Also, if you are thinking that the referrer check in wordpress prevents this particular vulnerability then you are mistaken. Также, если вы соберетесь что ссылающейся проверки в wordpress препятствует этому особую уязвимость, то вы ошибаетесь.

Further details on the Более подробную информацию о vulnerabilities and exploit уязвимости и использовать .

The moral of the story is upgrade and do it now . Мораль истории является модернизация и сделайте это сейчас.