• Вконтакте
  • Facebook
  • Twitter
  • Instagram
  • Telegram
  • Viber
  • WhatsApp
Республика Беларусь г. Минск, ул. Герасименко 29
+375 29 236-68-17
+375 29 228-06-03
Заказать звонок
СтопВирус
О компании
  • О компании
  • Партнеры
  • Отзывы
  • Реквизиты
  • Вопрос ответ
Отзывы
Гарантии
Новости
Услуги
  • Удаление вирусов с сайта
    • Комплексная защита
    • Диагностика безопасности
    • Сайт под наблюдением
    • Срочная помощь
  • Обслуживание ПК NEW
    • Ремонт ноутбуков
    • Ремонт компьютеров
    • Установка Windows
    • Настройка сетей Ethernet
Блог
Контакты
Ещё
    СтопВирус
    Меню  
    • О компании
      • О компании
      • Партнеры
      • Отзывы
      • Реквизиты
      • Вопрос ответ
    • Отзывы
    • Гарантии
    • Новости
    • Услуги
      • Удаление вирусов с сайта  
        • Комплексная защита
        • Диагностика безопасности
        • Сайт под наблюдением
        • Срочная помощь
      • Обслуживание ПК NEW  
        • Ремонт ноутбуков
        • Ремонт компьютеров
        • Установка Windows
        • Настройка сетей Ethernet
    • Блог
    • Контакты
    Заказать звонок
    +375 29 236-68-17
    +375 29 228-06-03
    СтопВирус
    • О компании
      • Назад
      • О компании
      • О компании
      • Партнеры
      • Отзывы
      • Реквизиты
      • Вопрос ответ
    • Отзывы
    • Гарантии
    • Новости
    • Услуги
      • Назад
      • Услуги
      • Удаление вирусов с сайта
        • Назад
        • Удаление вирусов с сайта
        • Комплексная защита
        • Диагностика безопасности
        • Сайт под наблюдением
        • Срочная помощь
      • Обслуживание ПК NEW
        • Назад
        • Обслуживание ПК NEW
        • Ремонт ноутбуков
        • Ремонт компьютеров
        • Установка Windows
        • Настройка сетей Ethernet
    • Блог
    • Контакты
    • +375 29 236-68-17
      • Назад
      • Обратная связь
      • +375 29 236-68-17
      • +375 29 228-06-03
      • Заказать звонок
    Будьте на связи
    Республика Беларусь г. Минск, ул. Герасименко 29
    support@stopvirus.by
    • Facebook
    • Вконтакте
    • Twitter
    • Instagram
    • Telegram
    • Viber
    • WhatsApp

    Еженедельное обновление WP.Core.5.4.2.CVE

    7 октября 2020 12:32
    // Новые вирусы
    Еженедельное обновление WP.Core.5.4.2.CVE

    WordPress несколько уязвимостей. Настоятельно рекомендуется немедленное обновление. Затронутый файл: wp-includes/pluggable.РНР. Версии: Подробности: WordPress выпустил новую минорную версию, которая исправляет проблемы безопасности, включая уязвимости XSS и открытый редирект. https://wordpress.org/support/wordpress-version/version-5-4-2/. Получите последнее обновление для вашей ветви WordPress: https://wordpress.org/download/releases/. Мы также рекомендуем вам проверить папки со старыми версиями вашего сайта (старые, резервные и т.д.), Так как там также может быть уязвим WordPress.


    WordPress несколько уязвимостей. Настоятельно рекомендуется немедленное обновление. Затронутый файл: wp-includes/pluggable.РНР. Версии: Подробности: WordPress выпустил новую минорную версию, которая исправляет проблемы безопасности, включая уязвимости XSS и открытый редирект. https://wordpress.org/support/wordpress-version/version-5-4-2/. Получите последнее обновление для вашей ветви WordPress: https://wordpress.org/download/releases/. Мы также рекомендуем вам проверить папки со старыми версиями вашего сайта (старые, резервные и т.д.), Так как там также может быть уязвим WordPress.

    WordPress 5.4.2 исправляет несколько уязвимостей XSS

    Эта запись была опубликована в Vulnerabilities, WordPress Security 11 июня 2020 года Ram Gall   2 Responses

    Только что была выпущена основная версия WordPress 5.4.2. Поскольку этот выпуск помечен как комбинированное обновление для системы безопасности и исправления ошибок, мы рекомендуем обновить его как можно скорее. С учетом сказанного, большинство исправлений безопасности сами по себе предназначены для уязвимостей, которые потребовали бы конкретных обстоятельств для использования. Всего в этом выпуске содержится 6 исправлений безопасности, 3 из которых предназначены для уязвимостей XSS (межсайтовых сценариев). Как бесплатные, так и премиальные версии Wordence имеют надежную встроенную защиту XSS, которая защитит от потенциального использования этих уязвимостей.

    Разбивка каждой проблемы безопасности

    Проблема XSS, при которой аутентифицированные пользователи с низкими привилегиями могут добавлять JavaScript в сообщения в Редакторе блоков

    Этот недостаток позволил бы злоумышленнику внедрить JavaScript в сообщение, манипулируя атрибутами встроенных iFrames. Это было бы доступно пользователям с такой edit_postsвозможностью, то есть пользователям с ролью участника или выше в большинстве конфигураций.

    Набор изменений, о котором идет речь, таков:
    https://core.trac.wordpress.org/changeset/47947/

    Эта проблема была обнаружена и сообщена Сэмом Томасом (jazzy2fives)

    Проблема XSS, при которой аутентифицированные пользователи с разрешениями на загрузку могут добавлять JavaScript в медиафайлы

    Этот недостаток позволил бы злоумышленнику внедрить JavaScript в поле” Описание " загруженного медиафайла. Это было бы доступно пользователям с такой upload_filesвозможностью, то есть пользователям с ролью автора или выше в большинстве конфигураций.

    Набор изменений, о котором идет речь, таков:
    https://core.trac.wordpress.org/changeset/47948/

    Эта проблема была обнаружена и сообщена Луиджи – (gubello.me)

    Открытая проблема перенаправления в wp_validate_redirect()

    Из-за этого недостатка wp_validate_redirectфункция не смогла достаточно санировать URL-адреса, поставляемые ей. Таким образом, при определенных обстоятельствах злоумышленник мог создать ссылку на затронутый сайт, которая перенаправляла бы посетителей на вредоносный внешний сайт. Это не потребует особых возможностей, но обычно потребует либо социальной инженерии, либо отдельной уязвимости в плагине или теме для использования.

    Набор изменений, о котором идет речь, таков:
    https://core.trac.wordpress.org/changeset/47949/

    Эта проблема была обнаружена и сообщена Беном Биднером из команды безопасности WordPress.

    Аутентифицированная проблема XSS с помощью загрузки тем

    Этот недостаток позволил бы злоумышленнику внедрить JavaScript в имя таблицы стилей сломанной темы, которая затем была бы выполнена, если бы другой пользователь посетил страницу внешний вид->Темы на сайте. Это было бы доступно пользователям с install_themesedit_themesвозможностями или, которые доступны только администраторам в большинстве конфигураций.

    Набор изменений, о котором идет речь, таков:
    https://core.trac.wordpress.org/changeset/47950/

    Эта проблема была обнаружена и сообщена Nrimo Ing Pandum

    Проблема, которая set-screen-optionможет быть неправильно использована плагинами, приводящими к эскалации привилегий

    Из-за этого недостатка плагин, неправильно использующий set-screen-optionфильтр для сохранения произвольных или конфиденциальных параметров, потенциально может быть использован злоумышленником для получения административного доступа. В настоящее время мы не знаем о каких-либо плагинах, которые уязвимы для этой проблемы.

    Набор изменений, о котором идет речь, таков:
    https://core.trac.wordpress.org/changeset/47951/

    Эта проблема была обнаружена и сообщена Саймоном Сканнеллом из RIPS Technologies

    Проблема, при которой комментарии из защищенных паролем сообщений и страниц могут отображаться при определенных условиях

    Из-за этого недостатка выдержки комментариев к защищенным паролем постам могли бы быть видны на сайтах, отображающих виджет “Последние комментарии” или использующих плагин или тему с аналогичной функциональностью.

    Набор изменений, о котором идет речь, таков:
    https://core.trac.wordpress.org/changeset/47984/

    Эта проблема была обнаружена и сообщена Каролиной Нимарк

    Примечание: это не связано с проблемой, когда немодерируемые спам-комментарии были кратко видны и индексируемы поисковымисистемами .

    Что же мне делать?

    Большинство этих уязвимостей могут быть использованы только при определенных обстоятельствах или доверенными пользователями, но мы рекомендуем обновить их как можно скорее. Злоумышленники могут найти способы использовать их более легко, или исследователи, обнаружившие эти уязвимости, могут опубликовать код доказательства концепции, который позволяет более простое использование. Это незначительный релиз WordPress, поэтому большинство сайтов автоматически обновятся до новой версии.

    Вывод

    Мы хотели бы поблагодарить основную команду WordPress и исследователей, которые обнаружили и ответственно сообщили об этих уязвимостях, чтобы сделать WordPress более безопасным для всех.

    Вы можете найти официальное объявление о выпуске WP 5.4.2 на этой странице. Если у вас есть какие-либо вопросы или комментарии, пожалуйста, не стесняйтесь размещать их ниже, и мы сделаем все возможное, чтобы ответить на них своевременно. Если вы являетесь одним из исследователей, чьи работы включены выше, и хотели бы предоставить дополнительную информацию или исправления, мы будем рады Вашим комментариям.



    Поделиться
    Назад к списку
    • Комментарии
    Загрузка комментариев...
    Категории
    • CMS3
    • Новости8
    • Новые вирусы44
    • Партнеры2
    Это интересно
    • Поддельная версия плагина jQuery заразила множество сайтов
      Поддельная версия плагина jQuery заразила множество сайтов
      28 апреля 2021
    • Еженедельное обновление WP.Core.5.5.2.CVE
      Еженедельное обновление WP.Core.5.5.2.CVE
      30 октября 2020
    • Еженедельное обновление WP.Elementor.5.CVE
      Еженедельное обновление WP.Elementor.5.CVE
      1 октября 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-007
      Еженедельное обновление Drupal.CVE.Core-2020-007
      1 октября 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-009
      Еженедельное обновление Drupal.CVE.Core-2020-009
      1 сентября 2020
    • Еженедельное обновление WP.ElementorPRO.CVE
      Еженедельное обновление WP.ElementorPRO.CVE
      7 мая 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
      Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
      8 апреля 2020
    • Еженедельное обновление WP.AllinOneSEOPack.CVE
      Еженедельное обновление WP.AllinOneSEOPack.CVE
      18 марта 2020
    • Еженедельное обновление WP.FastestCache.CVE
      Еженедельное обновление WP.FastestCache.CVE
      9 марта 2020
    • Еженедельное обновление WP.Slider.CVE
      Еженедельное обновление WP.Slider.CVE
      7 февраля 2020
    • Еженедельное обновление WP.Elementor.2.CVE
      Еженедельное обновление WP.Elementor.2.CVE
      6 февраля 2020
    • Еженедельное обновление версии 3.9.21 Joomla
      Еженедельное обновление версии 3.9.21 Joomla
      5 февраля 2020
    • Еженедельное обновление WP.DatabaseReset.CVE
      Еженедельное обновление WP.DatabaseReset.CVE
      28 января 2020
    • Еженедельное обновление Bitrix.Trojan.11
      Еженедельное обновление Bitrix.Trojan.11
      2 января 2020
    • Еженедельное обновление WP.WooCommerce.CVE
      Еженедельное обновление WP.WooCommerce.CVE
      23 декабря 2019
    • Еженедельное обновление Drupal.CVE.Core-2019-012
      Еженедельное обновление Drupal.CVE.Core-2019-012
      1 октября 2019
    • Magento Guruincsite массовая блокировка сайтов
      Magento Guruincsite массовая блокировка сайтов
      22 октября 2015
    • Еженедельное обновление WP.ContactForm7.CVE
      Еженедельное обновление WP.ContactForm7.CVE
    • Еженедельное обновление WP.Loginizer.CVE
      Еженедельное обновление WP.Loginizer.CVE
    • Еженедельное обновление WP.SDownloadMonitor.CVE
      Еженедельное обновление WP.SDownloadMonitor.CVE
    Облако тегов
    WordPressВирусы на сайтена сайте вирусыОчистить сайт от вирусовПроверить сайт на вирусыУдаление вирусов на сайтеудаление вирусов на сайтеуязвимости на сайте
    Компания
    О компании
    Партнеры
    Отзывы
    Реквизиты
    Вопрос ответ
    Продукты
    Антивирус для сайта
    Хостинг
    Услуги
    Удаление вирусов с сайта
    Обслуживание ПК NEW
    О сервисе
    Прейскурант цен
    Польз. соглашение
    Политика конфид.
    Наши контакты


    +375 (29) 236-68-17
    +375 (29) 228-06-03
    support@stopvirus.by
    Республика Беларусь г. Минск, ул. Герасименко 29
    ©2013-2023 Все права защищены Stopvirus.by.
    Все материалы данного сайта являются объектами авторского права (в том числе дизайн). Запрещается копирование, распространение (в том числе путем копирования на другие сайты и ресурсы в Интернете) или любое иное использование информации и объектов без предварительного согласия правообладателя.
    По всем вопросам пишите на support@stopvirus.by
    УНП:490932810, ИП Жидко Леонид Александрович, Республика Беларусь, Гомельская обл. г. Рогачев ул. Кирова, д. 37, кв. 72, принимаем звонки с 9:00 до 21:00.
    Безопасный сервер WEBPAY устанавливает шифрованное соединение по защищенному протоколу TLS и конфиденциально принимает от клиента данные его платёжной карты (номер карты, имя держателя, дату окончания действия, и контрольный номер банковской карточке CVC/CVC2). После совершения оплаты с использованием банковской карты необходимо сохранять полученные карт-чеки (подтверждения об оплате) для сверки с выпиской из карт-счёта (с целью подтверждения совершённых операций в случае возникновения спорных ситуаций). В случае, если Вы не получили заказ (не оказана услуга), Вам необходимо обратиться (в службу технической поддержки) по телефонам +375292366817 или e-mail support@stopvirus.by. Менеджеры Вас проконсультируют. При оплате банковской платежной картой возврат денежных средств осуществляется на карточку, с которой была произведена оплата. Оплата при помощи WebPay
    Онлайн оплата
    • Вконтакте
    • Facebook
    • Twitter
    • Instagram
    • Telegram
    • Viber
    • WhatsApp