610210
12.03.2019 разработчики системы управления контентом (Content Management System, CMS) WordPress выпустили обновление безопасности, устраняющее ряд уязвимостей, в том числе уязвимость «межсайтовой подделки запроса» (Cross-Site Request Forgery, CSRF), позволяющую злоумышленнику удаленно выполнить код.
Уязвимость затрагивает все версии CMS WordPress, ниже 5.1.1. Для эксплуатации уязвимости необходимо, чтобы на сайте была включена поддержка добавления комментариев, т. к. по сценарию атаки злоумышленник добавляет вредоносный код в обработчик комментариев WordPress. CSRF-эксплойт запускается при открытии вредоносной страницы в браузере администратора сайта.
Известно, что указанная уязвимость использовалась злоумышленниками в ходе проведения компьютерных атак.
Учитывая, что комментарии являются основной функцией блогов и включены по умолчанию, уязвимость затронула миллионы сайтов.
Кроме того, в новой версии CMS WordPress добавлено предупреждение о повышении требований к версии скриптового языка PHP. Начиная с выпуска WordPress 5.2 в качестве минимально поддерживаемой версии будет заявлен PHP 5.6.
Специалисты настоятельно рекомендуют обновить CMS WordPress до последней версии — 5.1.1.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
