Dezvoltatorii WordPress refuza inchiderea vulnerabilitatii gasite

Expertii TrustWave SpiderLabs au gasit o potentiala vulnerabilitate in pagina de instalare WordPress. La instalarea WordPress in instanta MySQL, raufacatorul poate fi capabil...





sa ruleze un cod PHP si scriptare cross-site. toate problemele sunt caracteristice versiunii 3.3.1. Raportul TrustWave SpiderLabs contine descrieri a bug-ului gasit. Astfel pagina de instalare setup-confing.php ofera posibilitatea instalarii WordPress pe o instanta MySQL locala sau la distanta. Cu toate acestea este posibil ca atacatorul care isi gazduieste propriul MySQL server sa completeze instalarea WordPress in locul utilizatorului, fara a avea drepturi reale de acces. Odata ce instalarea e completa, atacatorul poate insera pe BLOG-ul dvs un cod PHP malaware. Oficialii de la WordPress au declarat ca nu va rezolva acest neajuns. Potrivit acestora, probabilitatea ca un utilizator care a inceput instalarea WordPress si nu o termina in scurt timp e prea mica. Atacatorul pur si simplu are foarte putin timp la dispozitie pentru a profita de vulnerabilitatile gasite.

Niciun comentariu:

Trimiteți un comentariu