OpenForum RSS: В WordPress 4.8.3 устранена уязвимость, которая может привес... https://opennet.dev/openforum/vsluhforumID3/112651.html В системе управления web-контентом WordPress выявлена уязвимость (https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html), позволяющая выполнить произвольные SQL-запросы на сервере. Уязвимость устранена (https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/) в выпуске 4.8.3. <br><br><br>Проблема связана с генерацией функцией $wpdb-&gt;prepare() запросов, допускающих совершение атак через подстановку SQL-запросов из-за отсутствия экранирования последовательности "%s" функцией esc_sql(). Утверждается, что базовая часть WordPress напрямую не подвержена атаке, но уязвимость может проявиться в плагинах и темах оформления при наличии двойного вызова prepare в сочетании с подстановками через "%s". Например, если в коде<br><br><br><br><br> $value_clause = $wpdb-&gt;prepare( " AND meta_value = %s", $meta_value );<br> $object_ids = $wpdb-&gt;get_col( $wpdb-&gt;prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key ) );<br><br><br><br><br>в качестве значения $meta_value п В WordPress 4.8.3 устранена уязвимость, которая может привес... (KonstantinB) https://opennet.dev/openforum/vsluhforumID3/112651.html#17 Thu, 02 Nov 2017 16:44:15 GMT Забавно, что среди комментирующих про тупых похапешников никто так и не понял суть проблемы.<br><br>Читать еще раз внимательно - "благодаря двойной подстановке".<br><br>А почему не prepared statements - это понятно: обратная совместимость с плагинами, написанными 15 лет назад. Без плагинов этот вордпресс сразу станет никому не нужен, потому и тянется, прямо скажем, не самая удачная архитектура времен начала нулевых.<br> В WordPress 4.8.3 устранена уязвимость, которая может привес... (freehck) https://opennet.dev/openforum/vsluhforumID3/112651.html#16 Thu, 02 Nov 2017 15:28:00 GMT Да, непризнание ошибок у них чаще всего. Пока не разжуёшь всё от А до Я, пока чуть ли не покажешь в какой строке ошибка -- тяжело добиться выполнения задачи. В общем-то без этого нюанса я их и вовсе не встречал никогда. Так что я соглашусь с Вами -- если это всё, что за вебником замечено -- то это хороший, годный, грамотный вебник.<br><br>Но увы, такие именно что, как Вы изволили выразиться "встречаются". В основном же уровень их общей безграмотности ужасает. Когда вёл семинары, помнится, сразу вбрасывал студентам мысль, что если хотят научиться нормальной разработке, от веба надо поначалу держаться подальше. :/<br> В WordPress 4.8.3 устранена уязвимость, которая может привес... (Comdiv) https://opennet.dev/openforum/vsluhforumID3/112651.html#15 Thu, 02 Nov 2017 13:41:16 GMT Если ошибка легко достижима, то она будет проявляться вне зависимости от того, насколько она древняя и широко освещённая. Переполнение буфера в Си - это тоже древняя и широко освещённая ошибка, но их находили и будут находить и использовать в своих целях.<br> В WordPress 4.8.3 устранена уязвимость, которая может привес... (_hide_) https://opennet.dev/openforum/vsluhforumID3/112651.html#14 Thu, 02 Nov 2017 10:39:40 GMT &gt;&gt;&gt; Я спрошу мягко, чтобы никого не обидеть: а много ты знаешь адекватных вебников?<br><br>Вообще такие встречаются. Упрямые, но ошибки свои исправляют. Хотя признают только перед исправлением (сообщили о проблеме - нет тут ошибки... исправил - да была ошибка, исправил. но таких редко встречаю)<br> В WordPress 4.8.3 устранена уязвимость, которая может привес... (Аноним) https://opennet.dev/openforum/vsluhforumID3/112651.html#13 Wed, 01 Nov 2017 18:58:38 GMT &gt; ну да, ну да - давай у тебя сайт просто рухнет и полежит, с недельку, пока ты разбираешься - каким плагином это вызвано, и можно ли его хотя бы временно отключить, или надо пол-сайта переделать. <br><br>То есть "стейджин" - это для трусов?<br> В WordPress 4.8.3 устранена уязвимость, которая может привес... (Аноним) https://opennet.dev/openforum/vsluhforumID3/112651.html#12 Wed, 01 Nov 2017 16:26:57 GMT Не хватает совета мудрых хеловорлдщиков, что поделать.<br> В WordPress 4.8.3 устранена уязвимость, которая может привес... (Kodir) https://opennet.dev/openforum/vsluhforumID3/112651.html#11 Wed, 01 Nov 2017 15:10:09 GMT Это слишком древнаяя и широко освещённая ошибка, чтобы в 21 веке иметь её в коде. Код с подобными проблемами автоматом считается "лабуховским".<br> В WordPress 4.8.3 устранена уязвимость, которая может привес... (Kodir) https://opennet.dev/openforum/vsluhforumID3/112651.html#10 Wed, 01 Nov 2017 15:08:42 GMT SQL injection существует десятки лет. Неужели похапасты настолько тупые, что не перепроверили свой позорный код за столько лет?? Уже даже не смешно читать про SQL с прямой подстановкой данных.<br> В WordPress 4.8.3 устранена уязвимость, которая может привес... (Comdiv) https://opennet.dev/openforum/vsluhforumID3/112651.html#9 Wed, 01 Nov 2017 12:40:49 GMT Ошибки на то и ошибки, чтобы даже зная как надо, сделать что-то не то.<br>