Security Week 51: баг в WordPress 5.0 и софте Logitech, фотоуязвимость Facebook
Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла. Подробнее о ней рассказывал исследователь Сэм Томас на конференции BlackHat (PDF). Чуть больше информации обо всех закрытых уязвимостях можно получить в блоге компании Wordfence.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Ландшафт угроз информационной безопасности последних лет. Часть 2
- Реализация SHA256 и SHA512 на языке RUST
- Вспомнить за майские: 20 шагов для апгрейда информационной безопасности
- (Не) безопасный дайджест: открытый сервер, морская утечка и атака на цепочку поставок
- Неожиданности IPv6, или почему тупят Instagram и WhatsApp через прокси и VPN
- [Перевод] Бэкдор в основной версии xz/liblzma, ведущий к компрометации SSH-сервера
- Раскрываем секретные функции: магия макросов в Burp Suite
- AITU Military CTF 2024: История о том, как мой сон привел к поднятию киберполигона в стенах моего университета. Часть 1
- Объявлены победители RUWARD AWARD 2024
- Виртуальное повышение. Эскалируем привилегии в VirtualBox