Приветствую Вас ГостьВоскресенье, 24.06.2018, 19:17

Мир Софта

«  Июль 2016  »
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
25262728293031
Программа недели
C-Media CMI8738/C3DX Audio Device PCI
Новые программы
Новая литература
Немного поэзии

Подари мне лунный свет

Или свет больших планет

Или звездочку в ночи,

Что горит в ночной тиши...

Читать полностью
Друзья сайта


Нас знают
Каталог@Mail.ru - каталог ресурсов интернет
Архив записей
Поиск

Главная » 2016 » Июль » 14 » В популярном плагине для WordPress закрыта серьёзная уязвимость
07:34
В популярном плагине для WordPress закрыта серьёзная уязвимость

Владельцы сайтов на системе управления контентом WordPress с популярным плагином All in One SEO Pack должны как можно скорее установить обновление. Выпущенная в пятницу версия плагина закрывает уязвимость, способную давать доступ к учётным записям администраторов сайтов. Плагин предлагает оптимизации, призванные увеличить видимость сайта в поисковых системах. Статистика говорит о более чем миллионе активных установок All in One SEO Pack.

Уязвимость находится в функции Bot Blocker и может быть задействована дистанционно отправкой запроса HTTP со специально подобранными заголовками. Функция Bot Blocker обнаруживает и блокирует спам-ботов на основе значений заголовков user agent и referer, о чём рассказал нашедший уязвимость исследователь Давид Ваарджес.

Если активна настройка Track Blocked Bots (по умолчанию отключена), плагин записывает все заблокированные запросы и отображает их на странице HTML в панели администратора сайта. Поскольку плагин не может надлежащим образом обработать запросы перед их отображением, хакеры получают возможность внедрить вредоносный код на JavaScript в заголовки запросов, который станет частью страницы HTML.

Это открывает доступ атакам межсайтового скриптинга, когда код может выполняться при каждом просмотре этой страницы. Так как речь идёт об администраторах, злоумышленники могут украсть метки (session tokens). Эти метки представляют собой хранящиеся внутри браузера значения, которые позволяют сайту узнавать зашедшего в учётную запись пользователя. Поместив эти метки в свои браузеры, атакующие могут зайти на сайт под видом его администратора.

Компания Semper Fi Web Design выпустила версию All in One SEO Pack 2.3.7, где уязвимость закрыта.

Категория: Новости Софта | Просмотров: 164 | Добавил: alex | Рейтинг: 0.0/0
Категории раздела
Новости Софта [6179]
Новости из мира софта
Новости Железа [7039]
Новости из мира железа
----->> ТОП 10 <<-----
C-Media CMI8738/C3DX Audio Device PCI
Обои для презентаций
Драйвера и софт для Веб-камера A4Tech
FlylinkDC++ r400 Build 4582 х86
MiniTool Partition Wizard Home Edition 6.0
VKontakte.DJ версия 3.22
MobiMB Media Browser 3.5.31 RUS
Тема Mac OS для Windows 7
Пакет оформления для Windows 7 х86х64 Rus"Windows 7 New Look Dark"
Windows 7 Firewall Control 4.0.144.38 х32/х64
----->> Новые Статьи <<-----
[15.05.2013][ПК и комплектующие]
Особенности ремонта ноутбуков.(19)
[26.03.2013][ПК и комплектующие]
Как уберечь информацию и электроприбору от перебоя напряжения
[28.02.2013][ПК и комплектующие]
Особенности ремонта ноутбука.(5)
[28.02.2013][ПК и комплектующие]
Грамотная настройка компьютера без посещения мастерской
[18.12.2012][Программное обеспечение]
Преимущества Google Adwords и Яндекс Директ
[27.11.2012][ПК и комплектующие]
Купить Kinect
[11.09.2012][ПК и комплектующие]
Схемы автоматизации, а также диспетчеризации зданий – новведение в технологической сфере.
[10.09.2012][Программное обеспечение]
Обои и программы для ОС Андроид на планшеты и КПК
[27.08.2012][Программное обеспечение]
Flash игры бесплатно играть - это весело
[20.08.2012][ПК и комплектующие]
Мобильные компьютеры, их типы, техничексие характеристики и особенности
Наш опрос
Помог ли Вам наш сайт?
Всего ответов: 75
Сейчас на сайте

Главная | Новости | Софт | Литература