WordPress補(bǔ)丁關(guān)鍵XSS漏洞評(píng)論者可以跨站點(diǎn)腳本.灰鴿子下載,遠(yuǎn)程控制軟件

admin

WordPress補(bǔ)丁關(guān)鍵XSS漏洞評(píng)論者可以跨站點(diǎn)腳本.灰鴿子下載,遠(yuǎn)程控制軟件

敦促用戶(hù)迫切地更新他們的家Wordpress開(kāi)發(fā)自動(dòng)化家安裝公司的發(fā)布平臺(tái)來(lái)解決一個(gè)關(guān)鍵漏洞,可能導(dǎo)致攻擊者接管整個(gè)網(wǎng)站。
安全廠(chǎng)商Klikki Jouko Pynnonen。fi發(fā)現(xiàn)了一個(gè)WordPress的跨站點(diǎn)腳本(XSS)缺陷,允許評(píng)論者注入Javascript站點(diǎn)。
當(dāng)管理員用戶(hù)檢查評(píng)論溫和他們并執(zhí)行Javascript包含目標(biāo)的WordPress站點(diǎn)的攻擊者可以完全控制通過(guò)插件和主題編輯器。
文本數(shù)據(jù)類(lèi)型的漏洞利用WordPress的MySQL數(shù)據(jù)庫(kù)是建立在被限制為64字節(jié)大小。
評(píng)論超過(guò)64 kb將被截?cái)?Pynnonen說(shuō),但是結(jié)果在WordPress畸形生成HTML頁(yè)面。
“攻擊者可以供應(yīng)任何屬性允許HTML標(biāo)記,以同樣的方式與兩個(gè)最近發(fā)表影響WordPress核心存儲(chǔ)XSS漏洞,”他寫(xiě)道。
4.2版本3.9.3、4.1.1 4.1.2和WordPress和MySQL 5.1.53 5.5.41已被確認(rèn)為脆弱的Pynnonen建議用戶(hù)運(yùn)行這些關(guān)掉評(píng)論,直到他們更新他們的網(wǎng)站。
Automattic表示,趕走了修復(fù),包含在版本4.2.1,準(zhǔn)備在數(shù)小時(shí)內(nèi)被意識(shí)到嚴(yán)重的漏洞。
相反,Pynnonen說(shuō)供應(yīng)商“拒絕所有通信嘗試我們的2014年11月以來(lái)持續(xù)的安全漏洞情況�！�
4.2.1更新也正在準(zhǔn)備推出的自動(dòng)支持,版本的網(wǎng)站,Automattic說(shuō)，灰鴿子遠(yuǎn)程控制軟件，灰鴿子遠(yuǎn)程控制。
XSS Pynnonen寫(xiě)道,他發(fā)現(xiàn)類(lèi)似的另一個(gè)使用無(wú)效的性格缺陷,而超過(guò)64 kb的評(píng)論,在MySQL截?cái)嘧址�串�?br /> 無(wú)效的字符XSS漏洞是由研究人員發(fā)現(xiàn)塞德里克·Bockhaven去年2月家,報(bào)自動(dòng)化家。
盡管WordPress承認(rèn)這個(gè)問(wèn)題在2014年3月,最初的補(bǔ)丁van Bockhaven今年5月,直到今年4月才解決問(wèn)題。
WordPress博客平臺(tái)和內(nèi)容管理系統(tǒng)所使用的估計(jì)全球大約7500萬(wàn)個(gè)網(wǎng)站,提供每月158億頁(yè)。

lrc804478902

來(lái)賺銀幣的。。回復(fù)一下。

常旭潮晨

來(lái)看一下，