Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Sucuri поделилась подробностями об одной из уязвимостей межсайтового скриптинга (XSS), исправленных на прошлой неделе в WordPress. Брешь может быть очень полезна для злоумышленников в сочетании с другой уязвимостью инъекции контента, которая была использована в реальных атаках.

Версия WordPress 4.7.3, выпущенная 6 марта, исправляет шесть уязвимостей, в том числе три XSS-дыры. Одна из них известна под идентификатором CVE-2017-6817, она была обнаружена исследователем Sucuri Марком Монтпасом (Marc Montpas).

Уязвимость позволяет аутентифицированному злоумышленнику вставлять произвольный JavaScript-код в сообщения, его можно использовать через URL-адреса YouTube и короткие коды (shortcodes). Взломщик с привилегиями участника может использовать недостаток, чтобы запустить бэкдор на целевом сайте.

Поскольку эксплуатация требует, по крайней мере, привилегий участника, уязвимость считается некритичной. Тем не менее, риск гораздо выше в версиях до 4.7.2, что связано с другой уязвимостью, которой они подвержены.

Брешь инъекции контента, также обнаруженная исследователями из Sucuri, используется для удаленного выполнения кода и дефейса веб-страниц. Вместе с XSS-уязвимостью она позволяет удаленному злоумышленнику внедрять вредоносный код JavaScript в сообщения на сайте WordPress.

«Эти две уязвимости в сочетании предоставляют злоумышленникам возможность сохранять код JavaScript в публикациях на сайте. Этот код будет выполнен, когда посетители просмотрят сообщение или когда кто-нибудь попытается отредактировать его из панели инструментов WordPress. Этот вредоносный код может использоваться для создания новых пользователей-администраторов или бэкдора» - объясняет эксперт Sucuri.

VK WorkSpace получил смарт-папки и общие файлы между доменами

VK Tech представил обновления серверной версии VK WorkSpace. Новые функции появились сразу в нескольких сервисах платформы: Почте, Календаре, Диске и Мессенджере. В Почте VK WorkSpace расширили возможности фильтрации входящих писем.

Теперь правила могут учитывать не только отправителя, тему и вложения, но и содержимое письма.

Например, можно настроить автоматическую отправку писем с определенными словами в отдельную папку — это должно упростить сортировку рабочей корреспонденции.

В Календаре появилась печать расписания из настольного приложения. Пользователь может выбрать нужный календарь и вывести события в одном из двух форматов: списком на неделю или в виде недельной сетки с распределением встреч по времени. Раньше такая возможность была доступна только в веб-версии.

В Диске VK WorkSpace добавили общие папки для пользователей из разных доменов внутри одной инсталляции. Это может быть полезно компаниям с несколькими подразделениями или юридическими лицами, которым нужно работать с файлами в едином пространстве. Также в Android-приложении появился просмотр PDF-файлов прямо в чате без сохранения документа на устройство.

В Мессенджере расширили возможности федерации: теперь можно связать три и более инсталляций. Такой сценарий рассчитан на холдинги и компании-партнеры, которым нужно общаться в общих чатах, сохраняя отдельные ИТ-контуры.

Также в мессенджере появилась передача прав владельца групповых чатов и каналов. Если у чата нет администратора, участники увидят системное сообщение и смогут обратиться к администратору домена для назначения нового владельца.

Еще одно изменение — смарт-папки. Они формируются автоматически по категориям: «Личные», «Непрочитанные», «Группы», «Каналы» и «Боты». Кроме того, теперь в одном сообщении можно отправить до десяти файлов разных типов.

RSS: Новости на портале Anti-Malware.ru