- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вкратце - входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода. Актуально в том случае, если у юзеров после регистрации есть права на создание записи -> прикладывание изображений.
Подробнее - на Хабре, кому надо - там же патч.
Напишу сюда, что писал на хабр, а то эта "уязвимость wordpress" как-то не соответствует действительности
Уязвимость не в WordPress, а в скрипте изменения размеров картинок который используют некоторые создатели тем для WordPress.
Желтая пресса рулит конечно
1. Timthumbs никакого отношения конкретно к WordPress не имеет, это отдельный скрипт, даже не плагин для WordPress, с таким же успехом статью можно назвать "Уязвимость в темах Joomla".
2. Timthumbs используется не более чем в 5-10% тем WordPress, по этому не думаю что правильно говорить, что он используется во многих темах.
3. Уязвимость действительно серьезная, по этому стоит проверить, использует ли ваша тема Timthumbs, если в папке темы или подпапках есть timthumb.php скорее всего использует.
Особенно радуют слова "новая дырка", а старая-то где? Может кто нибудь вспомнит хоть одну дыру WordPress например за последний год?
Напишу сюда, что писал на хабр
Уязвимость не в WordPress, а в скрипте изменения размеров картинок который используют некоторые создатели тем для WordPress.
Желтая пресса рулит конечно
1. Timthumbs никакого отношения конкретно к WordPress не имеет, это отдельный скрипт, даже не плагин для WordPress, с таким же успехом статью можно назвать "Уязвимость в темах Joomla".
2. Timthumbs используется не более чем в 5-10% тем WordPress, по этому не думаю что правильно говорить, что он используется во многих темах.
3. Уязвимость действительно серьезная, по этому стоит проверить, использует ли ваша тема Timthumbs, если в папке темы или подпапках есть timthumb.php скорее всего использует.
Особенно радуют слова "новая дырка", а старая-то где? Может кто нибудь вспомнит хоть одну дыру WordPress например за последний год?
Сколько людей - столько и мнений, конечно, однако придерживаюсь мнения, что лучше пусть человек заглянет и скажет "у меня такого нет", чем потом думает, как его уютный бложик поломали. Оттого и заголовок желтоват, согласен - писалось для тех, кто делает сайты на ВП и не читает хабр, авось пригодится. У меня, например, файлик использовался на 2 проектах, и я не вебмастер, сайтов немного.
Старые дырки? Да пожалуйста, посмотрите в ChangeLog:
What's new in WordPress 3.1.4:
· This release fixes an issue that could allow a malicious Editor-level user to gain further access to the site. Thanks K. Gudinavicius of SEC Consult for bringing this to our attention. Version 3.1.4 also incorporates several other security fixes and hardening measures thanks to the work of WordPress developers Alexander Concha and Jon Cave of our security team.
Сколько людей - столько и мнений, конечно, однако придерживаюсь мнения, что лучше пусть человек заглянет и скажет "у меня такого нет", чем потом думает, как его уютный бложик поломали. Оттого и заголовок желтоват, согласен - писалось для тех, кто делает сайты на ВП и не читает хабр, авось пригодится. У меня, например, файлик использовался на 2 проектах, и я не вебмастер, сайтов немного.
Старые дырки? Да пожалуйста, посмотрите в ChangeLog:
What's new in WordPress 3.1.4:
· This release fixes an issue that could allow a malicious Editor-level user to gain further access to the site. Thanks K. Gudinavicius of SEC Consult for bringing this to our attention. Version 3.1.4 also incorporates several other security fixes and hardening measures thanks to the work of WordPress developers Alexander Concha and Jon Cave of our security team.
Может вы и правы, увидел тему с таким названием, сразу зашел.
То что вы привели конечно технически уязвимость, но получение редактором сайта (который и так может загружать файлы на сайт и т.п.) прав администратора сайта, мягко говоря сложно назвать полноценной уязвимостью.
Полностью согласен с weblad
Для Вордпресс создается огромное количество плагинов, многие из которых либо дырявые, либо глючные, либо прекращают поддерживаться на каком-то этапе и потом конфликтуют с движком.
Поэтому говорить о дырках в WP в этом плане как-то некорректно.