SQL injection w WordPress <=3.0.1 umożliwiający autorom pogląd na przykład haseł

Okazuje się, że z poziomu autora, który może publikować wiadomości w ciągu kilku minut (lub po zautomatyzowaniu ataku – kilku sekund) można uzyskać dane z bazy, na przykład hasła (zaszyfrowane) użytkowników.

Wczoraj zachęcałem do aktualizacji systemów WordPress do wersji najnowszej 3.0.2. Dziś po krótkich testach (przepraszam za śmieci testowe na bothunterspl.blip.pl itp.) sugeruję szybszą aktualizację. Na szybkiego zmieniłem zaktualizowany już nie podatny plik do wersji poprzedzającej aktualizację, przekonfigurowałem serwer WWW i ustawienia PHP do bardziej cywilizowanych (czytaj mniej bezpieczniejszych) i wykonałem kilka testów poprawionej luki. Okazuje się, że faktycznie z poziomu autora, który może publikować wiadomości w ciągu kilku minut (lub po zautomatyzowaniu ataku – kilku sekund) można uzyskać dane z bazy, na przykład hasła (zaszyfrowane) użytkowników. Mam wrażenie, że w tej materii usłyszymy jeszcze i będzie głośno o masowych atakach w silnik WordPress. Zaznaczę, że szczegółowy opis tego ataku można znaleźć już w sieci pod adresem http://blog.sjinks.pro/wordpress/858-information-disclosure-via-sql-injection-attack/ Sugeruję szybsze łatanie i chyba będzie wrzało :]

PS: Przyjrzyjcie się tekstowi z reklamy ;]]]

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar Sławek
    Sławek

    Całe szczęście, że nie korzystam z haseł, chociaż OpenID też stwarza pewne zagrożenia.

  2. Awatar spy000yps
    spy000yps

    Ja się zastanawiam, dlaczego kod WordPressa wygląda jakby go stworzyli w poprzednim stuleciu. Czy oni nie słyszeli o MVC?

    1. Awatar jarek
      jarek

      Takie dziwne, ze jak os-komuna cos popelni to wyglada to jak psu z gardla wyszarpane?

      1. Awatar wredota
        wredota

        Pokaż nam kod, który jest ładny, schludny, czytelny i wspaniały oraz nie jest otwarty ;D

        1. Awatar spy000yps
          spy000yps

          No, ja taki robię. Ale nie pokarzę, bo kod jest zamknięty.

  3. Awatar michuk
    michuk

    Patch zaaplikowany już na OSnews 🙂

    1. Awatar spy000yps
      spy000yps

      To jeszcze zapytaj się, czy ktoś tego wcześniej nie przetestował 😉

    2. Awatar morsik
      morsik

      A JakiLinux i OSBlog? (-;

      1. Awatar michuk
  4. Awatar konski_pytong
    konski_pytong

    To chyba Microsoft wtopił migrując swoje blogi na OpenSource, może i bardziej funkcjonalne ale dziurawe jak sito.

    1. Awatar FS1
      FS1

      Troll lol.

      1. Awatar konski_pytong
        konski_pytong

        LOL zaklinacz, rzeczywistości

  5. Awatar kot
    kot

    Jeśli ten kod wygląda jak Twoja ortografia, to współczuję.

  6. Awatar morsik
    morsik

    Na news to to nie wygląda, ale bardzo dobrze, że się pojawiło.

  7. Awatar lol
    lol

    Ja mam dziesięć Ferrari z grafenu, ale nie pokażę bo nie.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *