Релиз WordPress 4.7.3 устраняет шесть серьезных уязвимостей

Релиз WordPress 4.7.3 устраняет шесть серьезных уязвимостей

Релиз WordPress 4.7.3 устраняет шесть серьезных уязвимостей

Разработчики WordPress объявили в понедельник о выпуске версии 4.7.3, включающей исправления шести уязвимостей. Помимо этих уязвимостей новая версия устраняет 39 проблем обслуживания.

WordPress 4.7.3 устраняет три уязвимости межсайтового скриптинга (XSS), которые могут быть проэксплуатированы при помощи метаданных мультимедийных файлов, URL-адресов видео YouTube и названий таксономических терминов.

Также последнее обновление устраняет брешь, позволяющую обмануть проверку перенаправления URL-адресов и баг, способный привести к непреднамеренному удалению файлов.

Еще одна исправленная уязвимость представляет собой межсайтовую подделку запроса(CSRF) в функции «Press This». Эксплуатация этой уязвимости может привести к чрезмерному использованию серверных ресурсов и отказу в обслуживании (DoS).

Подробная информация о брешах CSRF и XSS была опубликована на веб-сайте Summer of Pwnage.

По словам экспертов, две XSS-уязвимости были выявлены в функционале плейлиста WordPress. Злоумышленник должен убедить редактора или администратора загрузить файл MP3, содержащий специально созданные метаданные. Код злоумышленника будет выполнен при обработке этих метаданных методами renderTracks() или wp_playlist_shortcode().

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вишинг-атака помогла похитить данные клиентов Cisco

Как сообщила Cisco, злоумышленник смог обманом получить доступ к данным пользователей Cisco.com. Всё произошло после фишингового звонка (так называемый «вишинг» — когда атакуют через голосовую связь), во время которого киберпреступник притворился сотрудником и убедил представителя Cisco выдать ему доступ.

Инцидент обнаружили 24 июля. Киберпреступник получил и выгрузил часть данных из облачной CRM-системы, с которой Cisco работает через стороннего подрядчика.

Утекла базовая информация о клиентах: имена, названия компаний, адреса, имейлы, телефоны, ID пользователей, а также технические детали вроде даты создания аккаунта.

Сколько всего пользователей пострадало — в Cisco не говорят. Представитель компании отказался уточнить масштабы утечки.

Судя по всему, это не первый случай взлома через такие CRM-платформы. Ранее сообщалось о похожих инцидентах у Allianz Life, Tiffany & Co., Qantas и других компаний, данные которых хранились в системах Salesforce. Известно, что Cisco тоже является клиентом Salesforce.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru