WordPress補丁關(guān)鍵XSS漏洞評論者可以跨站點腳本.灰鴿子下載,遠程控制軟件

admin

WordPress補丁關(guān)鍵XSS漏洞評論者可以跨站點腳本.灰鴿子下載,遠程控制軟件

敦促用戶迫切地更新他們的家Wordpress開發(fā)自動化家安裝公司的發(fā)布平臺來解決一個關(guān)鍵漏洞,可能導(dǎo)致攻擊者接管整個網(wǎng)站。
安全廠商Klikki Jouko Pynnonen。fi發(fā)現(xiàn)了一個WordPress的跨站點腳本(XSS)缺陷,允許評論者注入Javascript站點。
當(dāng)管理員用戶檢查評論溫和他們并執(zhí)行Javascript包含目標(biāo)的WordPress站點的攻擊者可以完全控制通過插件和主題編輯器。
文本數(shù)據(jù)類型的漏洞利用WordPress的MySQL數(shù)據(jù)庫是建立在被限制為64字節(jié)大小。
評論超過64 kb將被截斷,Pynnonen說,但是結(jié)果在WordPress畸形生成HTML頁面。
“攻擊者可以供應(yīng)任何屬性允許HTML標(biāo)記,以同樣的方式與兩個最近發(fā)表影響WordPress核心存儲XSS漏洞,”他寫道。
4.2版本3.9.3、4.1.1 4.1.2和WordPress和MySQL 5.1.53 5.5.41已被確認為脆弱的Pynnonen建議用戶運行這些關(guān)掉評論,直到他們更新他們的網(wǎng)站。
Automattic表示,趕走了修復(fù),包含在版本4.2.1,準(zhǔn)備在數(shù)小時內(nèi)被意識到嚴重的漏洞。
相反,Pynnonen說供應(yīng)商“拒絕所有通信嘗試我們的2014年11月以來持續(xù)的安全漏洞情況。”
4.2.1更新也正在準(zhǔn)備推出的自動支持,版本的網(wǎng)站,Automattic說，灰鴿子遠程控制軟件，灰鴿子遠程控制。
XSS Pynnonen寫道,他發(fā)現(xiàn)類似的另一個使用無效的性格缺陷,而超過64 kb的評論,在MySQL截斷字符串。
無效的字符XSS漏洞是由研究人員發(fā)現(xiàn)塞德里克·Bockhaven去年2月家,報自動化家。
盡管WordPress承認這個問題在2014年3月,最初的補丁van Bockhaven今年5月,直到今年4月才解決問題。
WordPress博客平臺和內(nèi)容管理系統(tǒng)所使用的估計全球大約7500萬個網(wǎng)站,提供每月158億頁。

lrc804478902

來賺銀幣的。。回復(fù)一下。

常旭潮晨

來看一下，