В WordPress исправили опасную уязвимость


WordPressНовый релиз WordPress 4.2 Powell состоялся на этой неделе. Кроме этого, был выпущен WordPress 4.1.2, призванный исправить опасную уязвимость, которая позволяет злоумышленнику внедрить код JavaScript при публикации комментариев, а также осуществить межсайтовый скриптинг.

По словам экспертов, проэксплуатировать брешь можно при помощи манипуляций с 4-байтовыми символами Unicode. Атака возможна по той причине, что MySQL поддерживает только 3-байтовые символы, а при появлении 4-байтового - по умолчанию отрезает конец строки. Используя это свойство, злоумышленник может обойти код чистки html-тегов в WordPress.

Выявленная уязвимость затрагивает все версии WordPress до 4.1.1, включая и ее.

Также стоит напомнить, что позавчера, 23.04.2015 года, уже сообщалось о обнаружении XSS-уязвимости в 17 популярных плагинах для WordPress.


Обновлено (25.04.2015 06:40)