+375 29 236-68-17
+375 29 228-06-03
Заказать звонок
Республика Беларусь г. Минск, ул. Герасименко 29
СтопВирус
Круглосуточная защита сайта от вирусов
О компании
  • О компании
  • Партнеры
  • Отзывы
  • Реквизиты
  • Вопрос ответ
Отзывы
Гарантии
Новости
Услуги
  • Удаление вирусов с сайта
    • Комплексная защита
    • Диагностика безопасности
    • Сайт под наблюдением
    • Срочная помощь
  • Обслуживание ПК NEW
    • Ремонт ноутбуков
    • Ремонт компьютеров
    • Установка Windows
    • Настройка сетей Ethernet
Блог
Контакты
Ещё
    СтопВирус
    О компании
    • О компании
    • Партнеры
    • Отзывы
    • Реквизиты
    • Вопрос ответ
    Отзывы
    Гарантии
    Новости
    Услуги
    • Удаление вирусов с сайта
      • Комплексная защита
      • Диагностика безопасности
      • Сайт под наблюдением
      • Срочная помощь
    • Обслуживание ПК NEW
      • Ремонт ноутбуков
      • Ремонт компьютеров
      • Установка Windows
      • Настройка сетей Ethernet
    Блог
    Контакты
    Ещё
      СтопВирус
      • О компании
        • Назад
        • О компании
        • О компании
        • Партнеры
        • Отзывы
        • Реквизиты
        • Вопрос ответ
      • Отзывы
      • Гарантии
      • Новости
      • Услуги
        • Назад
        • Услуги
        • Удаление вирусов с сайта
          • Назад
          • Удаление вирусов с сайта
          • Комплексная защита
          • Диагностика безопасности
          • Сайт под наблюдением
          • Срочная помощь
        • Обслуживание ПК NEW
          • Назад
          • Обслуживание ПК NEW
          • Ремонт ноутбуков
          • Ремонт компьютеров
          • Установка Windows
          • Настройка сетей Ethernet
      • Блог
      • Контакты
      • +375 29 236-68-17
        • Назад
        • Обратная связь
        • +375 29 236-68-17
        • +375 29 228-06-03
        • Заказать звонок
      Будьте на связи
      Республика Беларусь г. Минск, ул. Герасименко 29
      support@stopvirus.by
      • Facebook
      • Вконтакте
      • Twitter
      • Instagram
      • Telegram
      • Viber
      • WhatsApp
      • Яндекс.Дзен

      Еженедельное обновление WP.Core.5.4.2.CVE

      • Очистим сайт от вирусов. На сайте вирусы? Проверить сайт на вирусы. Удаление вирусов с сайта.
      • Блог
      • Еженедельное обновление WP.Core.5.4.2.CVE
      7 октября 2020 12:32
      // Новые вирусы
      Еженедельное обновление WP.Core.5.4.2.CVE

      WordPress несколько уязвимостей. Настоятельно рекомендуется немедленное обновление. Затронутый файл: wp-includes/pluggable.РНР. Версии: Подробности: WordPress выпустил новую минорную версию, которая исправляет проблемы безопасности, включая уязвимости XSS и открытый редирект. https://wordpress.org/support/wordpress-version/version-5-4-2/. Получите последнее обновление для вашей ветви WordPress: https://wordpress.org/download/releases/. Мы также рекомендуем вам проверить папки со старыми версиями вашего сайта (старые, резервные и т.д.), Так как там также может быть уязвим WordPress.


      WordPress несколько уязвимостей. Настоятельно рекомендуется немедленное обновление. Затронутый файл: wp-includes/pluggable.РНР. Версии: Подробности: WordPress выпустил новую минорную версию, которая исправляет проблемы безопасности, включая уязвимости XSS и открытый редирект. https://wordpress.org/support/wordpress-version/version-5-4-2/. Получите последнее обновление для вашей ветви WordPress: https://wordpress.org/download/releases/. Мы также рекомендуем вам проверить папки со старыми версиями вашего сайта (старые, резервные и т.д.), Так как там также может быть уязвим WordPress.

      WordPress 5.4.2 исправляет несколько уязвимостей XSS

      Эта запись была опубликована в Vulnerabilities, WordPress Security 11 июня 2020 года Ram Gall   2 Responses

      Только что была выпущена основная версия WordPress 5.4.2. Поскольку этот выпуск помечен как комбинированное обновление для системы безопасности и исправления ошибок, мы рекомендуем обновить его как можно скорее. С учетом сказанного, большинство исправлений безопасности сами по себе предназначены для уязвимостей, которые потребовали бы конкретных обстоятельств для использования. Всего в этом выпуске содержится 6 исправлений безопасности, 3 из которых предназначены для уязвимостей XSS (межсайтовых сценариев). Как бесплатные, так и премиальные версии Wordence имеют надежную встроенную защиту XSS, которая защитит от потенциального использования этих уязвимостей.

      Разбивка каждой проблемы безопасности

      Проблема XSS, при которой аутентифицированные пользователи с низкими привилегиями могут добавлять JavaScript в сообщения в Редакторе блоков

      Этот недостаток позволил бы злоумышленнику внедрить JavaScript в сообщение, манипулируя атрибутами встроенных iFrames. Это было бы доступно пользователям с такой edit_postsвозможностью, то есть пользователям с ролью участника или выше в большинстве конфигураций.

      Набор изменений, о котором идет речь, таков:
      https://core.trac.wordpress.org/changeset/47947/

      Эта проблема была обнаружена и сообщена Сэмом Томасом (jazzy2fives)

      Проблема XSS, при которой аутентифицированные пользователи с разрешениями на загрузку могут добавлять JavaScript в медиафайлы

      Этот недостаток позволил бы злоумышленнику внедрить JavaScript в поле” Описание " загруженного медиафайла. Это было бы доступно пользователям с такой upload_filesвозможностью, то есть пользователям с ролью автора или выше в большинстве конфигураций.

      Набор изменений, о котором идет речь, таков:
      https://core.trac.wordpress.org/changeset/47948/

      Эта проблема была обнаружена и сообщена Луиджи – (gubello.me)

      Открытая проблема перенаправления в wp_validate_redirect()

      Из-за этого недостатка wp_validate_redirectфункция не смогла достаточно санировать URL-адреса, поставляемые ей. Таким образом, при определенных обстоятельствах злоумышленник мог создать ссылку на затронутый сайт, которая перенаправляла бы посетителей на вредоносный внешний сайт. Это не потребует особых возможностей, но обычно потребует либо социальной инженерии, либо отдельной уязвимости в плагине или теме для использования.

      Набор изменений, о котором идет речь, таков:
      https://core.trac.wordpress.org/changeset/47949/

      Эта проблема была обнаружена и сообщена Беном Биднером из команды безопасности WordPress.

      Аутентифицированная проблема XSS с помощью загрузки тем

      Этот недостаток позволил бы злоумышленнику внедрить JavaScript в имя таблицы стилей сломанной темы, которая затем была бы выполнена, если бы другой пользователь посетил страницу внешний вид->Темы на сайте. Это было бы доступно пользователям с install_themesedit_themesвозможностями или, которые доступны только администраторам в большинстве конфигураций.

      Набор изменений, о котором идет речь, таков:
      https://core.trac.wordpress.org/changeset/47950/

      Эта проблема была обнаружена и сообщена Nrimo Ing Pandum

      Проблема, которая set-screen-optionможет быть неправильно использована плагинами, приводящими к эскалации привилегий

      Из-за этого недостатка плагин, неправильно использующий set-screen-optionфильтр для сохранения произвольных или конфиденциальных параметров, потенциально может быть использован злоумышленником для получения административного доступа. В настоящее время мы не знаем о каких-либо плагинах, которые уязвимы для этой проблемы.

      Набор изменений, о котором идет речь, таков:
      https://core.trac.wordpress.org/changeset/47951/

      Эта проблема была обнаружена и сообщена Саймоном Сканнеллом из RIPS Technologies

      Проблема, при которой комментарии из защищенных паролем сообщений и страниц могут отображаться при определенных условиях

      Из-за этого недостатка выдержки комментариев к защищенным паролем постам могли бы быть видны на сайтах, отображающих виджет “Последние комментарии” или использующих плагин или тему с аналогичной функциональностью.

      Набор изменений, о котором идет речь, таков:
      https://core.trac.wordpress.org/changeset/47984/

      Эта проблема была обнаружена и сообщена Каролиной Нимарк

      Примечание: это не связано с проблемой, когда немодерируемые спам-комментарии были кратко видны и индексируемы поисковымисистемами .

      Что же мне делать?

      Большинство этих уязвимостей могут быть использованы только при определенных обстоятельствах или доверенными пользователями, но мы рекомендуем обновить их как можно скорее. Злоумышленники могут найти способы использовать их более легко, или исследователи, обнаружившие эти уязвимости, могут опубликовать код доказательства концепции, который позволяет более простое использование. Это незначительный релиз WordPress, поэтому большинство сайтов автоматически обновятся до новой версии.

      Вывод

      Мы хотели бы поблагодарить основную команду WordPress и исследователей, которые обнаружили и ответственно сообщили об этих уязвимостях, чтобы сделать WordPress более безопасным для всех.

      Вы можете найти официальное объявление о выпуске WP 5.4.2 на этой странице. Если у вас есть какие-либо вопросы или комментарии, пожалуйста, не стесняйтесь размещать их ниже, и мы сделаем все возможное, чтобы ответить на них своевременно. Если вы являетесь одним из исследователей, чьи работы включены выше, и хотели бы предоставить дополнительную информацию или исправления, мы будем рады Вашим комментариям.



      Поделиться
      Назад к списку
      • Комментарии
      Загрузка комментариев...
      Категории
      • CMS2
      • Новости7
      • Новые вирусы43
      • Партнеры2
      Это интересно
      • Еженедельное обновление WP.Core.5.5.2.CVE
        Еженедельное обновление WP.Core.5.5.2.CVE
        30 октября 2020
      • Еженедельное обновление WP.Elementor.5.CVE
        Еженедельное обновление WP.Elementor.5.CVE
        1 октября 2020
      • Еженедельное обновление Drupal.CVE.Core-2020-007
        Еженедельное обновление Drupal.CVE.Core-2020-007
        1 октября 2020
      • Еженедельное обновление Drupal.CVE.Core-2020-009
        Еженедельное обновление Drupal.CVE.Core-2020-009
        1 сентября 2020
      • Еженедельное обновление WP.ElementorPRO.CVE
        Еженедельное обновление WP.ElementorPRO.CVE
        7 мая 2020
      • Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
        Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
        8 апреля 2020
      • Еженедельное обновление WP.AllinOneSEOPack.CVE
        Еженедельное обновление WP.AllinOneSEOPack.CVE
        18 марта 2020
      • Еженедельное обновление WP.FastestCache.CVE
        Еженедельное обновление WP.FastestCache.CVE
        9 марта 2020
      • Еженедельное обновление WP.Slider.CVE
        Еженедельное обновление WP.Slider.CVE
        7 февраля 2020
      • Еженедельное обновление WP.Elementor.2.CVE
        Еженедельное обновление WP.Elementor.2.CVE
        6 февраля 2020
      • Еженедельное обновление версии 3.9.21 Joomla
        Еженедельное обновление версии 3.9.21 Joomla
        5 февраля 2020
      • Еженедельное обновление WP.DatabaseReset.CVE
        Еженедельное обновление WP.DatabaseReset.CVE
        28 января 2020
      • Еженедельное обновление Bitrix.Trojan.11
        Еженедельное обновление Bitrix.Trojan.11
        2 января 2020
      • Еженедельное обновление WP.WooCommerce.CVE
        Еженедельное обновление WP.WooCommerce.CVE
        23 декабря 2019
      • Еженедельное обновление Drupal.CVE.Core-2019-012
        Еженедельное обновление Drupal.CVE.Core-2019-012
        1 октября 2019
      • Magento Guruincsite массовая блокировка сайтов
        Magento Guruincsite массовая блокировка сайтов
        22 октября 2015
      • Еженедельное обновление WP.ContactForm7.CVE
        Еженедельное обновление WP.ContactForm7.CVE
      • Еженедельное обновление WP.Loginizer.CVE
        Еженедельное обновление WP.Loginizer.CVE
      • Еженедельное обновление WP.SDownloadMonitor.CVE
        Еженедельное обновление WP.SDownloadMonitor.CVE
      • Еженедельное обновление WP.Hueman.CVE
        Еженедельное обновление WP.Hueman.CVE
      Облако тегов
      WordPress Вирусы на сайте на сайте вирусы Очистить сайт от вирусов Проверить сайт на вирусы проверить сайт на вирусы Удаление вирусов на сайте удаление вирусов на сайте уязвимости на сайте
      Компания
      О компании
      Партнеры
      Отзывы
      Реквизиты
      Вопрос ответ
      Продукты
      Антивирус для сайта
      Хостинг
      Услуги
      Удаление вирусов с сайта
      Обслуживание ПК NEW
      О сервисе
      Прейскурант цен
      Польз. соглашение
      Политика конфид.
      Наши контакты


      +375 (29) 236-68-17
      +375 (29) 228-06-03
      support@stopvirus.by
      Республика Беларусь г. Минск, ул. Герасименко 29
      ©2013-2021 Все права защищены Stopvirus.by.
      Все материалы данного сайта являются объектами авторского права (в том числе дизайн). Запрещается копирование, распространение (в том числе путем копирования на другие сайты и ресурсы в Интернете) или любое иное использование информации и объектов без предварительного согласия правообладателя.
      По всем вопросам пишите на support@stopvirus.by
      • Вконтакте
      • Facebook
      • Twitter
      • Instagram
      • Telegram
      • Viber
      • WhatsApp
      • Яндекс.Дзен