«Информзащита» обнаружила критичные уязвимости в популярном плагине для WordPress

Пятница, 12 апреля 2013 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания «Информзащита» проанализировала программный код популярного плагина для программы WordPress — Download Manager. В результате исследования специалисты обнаружили несколько уязвимостей, позволяющих потенциальному злоумышленнику получить доступ к данным пользователя.

WordPress является системой управления содержимым сайта, которая применяется как на частных блогах, так и на новостных ресурсах и интернет-магазинах. Одним из наиболее популярных плагинов, позволяющих загружать файлы на сайты, созданные на основе WordPress, является Download Manager. Этот плагин скачан более 260 тыс. раз и установлен на более чем 90 тыс. сайтов (по данным поиска google.com).

Проведенное исследование показало, что приложение хранит пароли к загружаемым файлам в открытом виде, не реализует разграничение доступа к файлам и не выполняет проверку входных параметров. На практике это может привести к доступу потенциального злоумышленника к данным пользователя, или позволит ему самостоятельно управлять сайтом. А при некорректной конфигурации сервера мошенник и вовсе может получить доступ к данным, хранящимся на сервере, рассказали CNews в «Информзащите».

«Вопрос безопасного программирования крайне актуален не только для свободного, но и для проприетарного ПО, — подчеркнул Иван Мелехин, директор департамента консалтинга и аудита компании «Информзащита». — Часто во время проектной деятельности мы сталкиваемся с тем, что разработчик частного ПО уделяет мало внимания безопасности кода. А расплачиваться за уязвимости в программном коде приходится заказчикам такого ПО. Ситуация с плагином для WordPress — лишь частный пример глобальной проблемы».

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 569
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Rating@Mail.ru