The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок"  +/
Сообщение от opennews (?), 18-Дек-20, 13:24 
В   WordPress-дополнении Contact Form 7 5.3.2, имеющем более 5 млн активных установок, выявлена уязвимость (CVE-2020-35489), позволяющая организовать выполнение PHP-кода на сервере...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54281

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +9 +/
Сообщение от хацкер (?), 18-Дек-20, 13:25 
отличная новость!
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от srgazh (ok), 20-Дек-20, 19:19 
Оооо да!
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +3 +/
Сообщение от Аноним (3), 18-Дек-20, 13:28 
безопасность -- это не про похапешников
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +4 +/
Сообщение от OpenEcho (?), 18-Дек-20, 13:56 
Очень хотелось бы посмотреть на твои безопасные поделки... если ими пользуется хотя бы 1/5 часть юзеров этого похапэшика
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +10 +/
Сообщение от Аноним (3), 18-Дек-20, 13:58 
А вот и классический «аргумент» «Сперва добейся!» подъехал.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –5 +/
Сообщение от OpenEcho (?), 18-Дек-20, 14:38 
> А вот и классический «аргумент» «Сперва добейся!» подъехал.

Больше сказать нечего? Я так и думал что у тебя поделок мильёнов на 5 поменьше будет

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +5 +/
Сообщение от Аноним (3), 18-Дек-20, 14:48 
> Я так и думал

Простое повторение «аргумента» «Сперва добейся!» не имеет ничего общего с думанием.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –2 +/
Сообщение от microsoft (?), 18-Дек-20, 21:20 
Но поделки ты нам так и не показал.
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +5 +/
Сообщение от Аноним (36), 18-Дек-20, 21:59 
Тот же «аргумент», но под другим ником. Это даже жалко.
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –1 +/
Сообщение от OpenEcho (?), 19-Дек-20, 02:39 
>> Я так и думал
> Простое повторение «аргумента» «Сперва добейся!» не имеет ничего
> общего с думанием.

Ну так подумай. Внимательно !

Человек потратил свое время, вложил свое "думание" в продукт, в свое свободное время, который отдал безплатно и который юзают (только оффициально) около 5,000,000,000 субьектов, и насколько я помню, уже много лет.

Человек же, который не может похвастаться тем же самым (или хотя-бы 1/5000000000 от этого), но при этом поливая из под тишка, под маской анонима, грязью того кто "смог", называется среди мужиков... ну, кто мужик, то понял, а для моральных калек я распинаться не стану, - безполезная трата времени.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

72. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Нате (?), 19-Дек-20, 21:07 
5,000,000,000 ?! Больше половины населения планеты?
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (17), 18-Дек-20, 15:38 
Я скажу. Дело в том, что порог вхождение в PHP ниже. И его часто даже не учат, а зазубривают только куски языка, чтобы править шаблоны CMS. Расцвет PHP был когда фреймворков для Java и ко. было мало и они были неудобны. Поэтому все эти уязвимостя тянутся от старого кода. Другими словами сейчас ни один знающий программист просто не пойдет что-то писать на PHP, отсюда не важно, что дело не в языке, а в кодерах - потому что нормальных кодеров PHP не получит. Ну и сам язык конечно не очень, для любых целей включая веб, есть куда лучшие.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

45. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +5 +/
Сообщение от OpenEcho (?), 19-Дек-20, 02:46 
> Я скажу. Дело в том, что порог вхождение в PHP ниже.

Здесь вопрос не ПХП, и не в качестве кода, (вполне возможно что тот японец вообще врач или таксист), а в низкой морали некоторых здешних завсегдотаев, готовых показать без стеснения свою низкую душенку, клеймя популярный продукт, который нужен всего то 5М, но при этом  не показывая своей "крутой" ни кому неизвестной прграммы, написанной на каком-то чудо языке, где нет никаких ошибок


Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от InuYasha (??), 20-Дек-20, 11:23 
Ты просто не понимаешь скромности анонимов.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (17), 18-Дек-20, 15:40 
И да, у "поделок" на той же Java не меньше пользователей, а скорее больше. Если конечно в пользователи не засчитывать пользователей CMS, но тогда вы и пользователей сервисов на Java засчитывайте как например пользователей Spring Framework для справедливости.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

32. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +7 +/
Сообщение от Аноним (32), 18-Дек-20, 18:26 
Посмотрев на нутро типичной поделки на Java под названием Jira и Confluence - не, я уж лучше с PHP буду дружить.
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +1 +/
Сообщение от OpenEcho (?), 19-Дек-20, 02:53 
> И да, у "поделок" на той же Java не меньше пользователей, а
> скорее больше.

Вопрос не измерении - "у кого больше, толще и длинее",  а в низости некоторых коментаторов, которые то-ли из зависти, толи из-за возраста, то-ли просто от невоспитаности, позволяют себе клеймить других, более успешных людей

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

66. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (66), 19-Дек-20, 16:35 
в java тоже легко сесть в лужу при разборе строк. Например из-за того что кодовые точки в ней занимают 1-2 символа, а прикручены были сбоку, лишь в версии J2SE 5.0 в 2004 году.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

65. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (66), 19-Дек-20, 16:27 
Да именно так. Испражняться в комментариях любой олигофрен может, а писать безопасный код код нет
Особенно при тех ограничениях которые есть у wordpress для совместимости с любым дешевым и старым хостингом.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

16. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +11 +/
Сообщение от VEGemail (ok), 18-Дек-20, 15:36 
В том чем пользуется полтора человека никто не ищет уязвимости. То чем пользуются миллионы - ищут. Вот и весь секрет. Если в том, чем вы пользуетесь, не находят уязвимости - это не говорит о том, что там нет уязвимостей.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

20. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +4 +/
Сообщение от Ковид2024 (?), 18-Дек-20, 16:34 
Но сохранять файлы по хэшу мы всё равно не будем?
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +3 +/
Сообщение от Аноним (36), 18-Дек-20, 22:03 
Если им так много пользуются почему бы просто не подтянуть качество продукта, нанять хороших программистов? Да потому что на пхп не бывает таких программистов в природе!
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

25. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +10 +/
Сообщение от Аноним Анонимович Анонимов (?), 18-Дек-20, 17:26 
Ошибка допущена программистом, который писал обработчик входных данных. При чём тут PHP? В PHP есть https://www.php.net/manual/en/filter.filters.misc.php фильтр, который позволяет свои функции для валидации входных данных написать. Кому-то было неизвестно или лень написать проверку строки имени файла. Либо ошибка допущена на этапе проектировании.

Сарказм тут совершенно неуместен так как подобная ошибка характерна для любого _интерпретируемого_ языка программирования. Даже в строготипизированных ЯП подобного плана ошибки не редкость.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

29. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –3 +/
Сообщение от Аноним (3), 18-Дек-20, 18:07 
> При чём тут PHP?

Действительно, а причем тут PHP? Ибо я говорил не о PHP, а о похапешниках:

    «безопасность -- это не про похапешников»

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –5 +/
Сообщение от Аноним (49), 19-Дек-20, 10:51 
PHP мог вы увеличить дуракопрочность ака дуракобезопасность, но не стал этого делать.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +6 +/
Сообщение от Аноним Анонимович Анонимов (?), 19-Дек-20, 14:32 
Код на РНР/python/perl/nodejs можно писать безопасным, только этому научиться сперва стоит. Неумение использовать инструмент приводит к ошибкам.
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –2 +/
Сообщение от Аноним (66), 19-Дек-20, 15:41 
Ну напишите функцию валидации имени файла и пути, которая будет работать и в windows и в unix-like, при этом будет работать хотя бы в php 5.6 (а не 5.3 как wordpress поддерживал еще недавно)
при этом будет пропускать имена допустимые в ос под которой выполняется (пробелы, \ в gnu/linux, что-то там в windows), национальные символы.

а потом говорите про необученных похапешников.
скорее всего у вас с 1 раза не получится, и со второго тоже и т.д.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +4 +/
Сообщение от Аноним Анонимович Анонимов (?), 19-Дек-20, 21:17 
Во-первых, вы изначально подошли к вопросу неправильно. Сами себя озадачиваете, а как быть в ситуации с пробелами или слешами. Вами допущена уже на начальном этапе ошибка проектирования. В комментариях верно написали, что файлам стоит присваивать хэш-сумму вместо имени, как вариант отличное решение. Если хотите использовать условно персидский язык или эмоджи в именах файлов - фильтруйте допустимые символы в именах файлов соответствующими диапазонами unicode.

Во-вторых, озвученный вами функционал не является чем-то сложным. Через предопределённую константу PHP_OS определяем платформу switch(PHP_OS) case "WINNT", case "Linux"... Как определили платформу preg_replace(" здесь шаблон ", " заменяем или вырезаем ", $filename).

В-третьих, можете почитать wordpress code reference. Там есть, например, вот такая функция https://developer.wordpress.org/reference/functions/sanitize.../

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –3 +/
Сообщение от Michael Shigorinemail (ok), 19-Дек-20, 14:52 
Видимо, сарказм подразумевался на слове "программистом".

Хотя и да, человеку всё так же свойственно ошибаться.  Даже Чеусову.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

58. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –1 +/
Сообщение от Аноним (66), 19-Дек-20, 15:30 
Вы видимо не пишите код даже на php и по-этому не делаете ошибок.
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (66), 19-Дек-20, 15:26 
>Практическая возможность эксплуатции уязвимости в типовых конфигурациях оценивается как низкая
>по умолчанию Contact Form 7 для серверов с Apache httpd создаёт в каталоге с загрузками .htaccess, запрещающий прямой доступ к загружаемым файлам
>файл сохраняется во временном каталоге со случайным именем
>удаляется сразу после отправки получателю

Вы конечно пишете код без ошибок.
А авторы подумали о том что могут быть ошибки и дополнительно защитились.  

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +3 +/
Сообщение от Аноньимъ (ok), 18-Дек-20, 13:38 
Никогда такого небыло, и вот, опять.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +4 +/
Сообщение от Аноним (6), 18-Дек-20, 13:47 
Сегодня еще не было.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –2 +/
Сообщение от Аноньимъ (ok), 18-Дек-20, 13:51 
> Сегодня еще не было.

Да было уже и не раз.
Не о каждой же из миллиона дыр новости делают.

Имхо, вордпресс одно из самых, если не самое, часто взламываемое ПО в мире.
В вебе точно.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Алекс (??), 18-Дек-20, 17:26 
Гыыы. Тонко, тонко. Не все поймут.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

35. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –1 +/
Сообщение от microsoft (?), 18-Дек-20, 21:23 
Но ты понял и всем рассказал, вот он герой опнянета
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +3 +/
Сообщение от Аноним (52), 19-Дек-20, 13:13 
А ты Майкрософт и ты, сам по себе, дыра в безопасности.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –2 +/
Сообщение от Аноним (6), 18-Дек-20, 13:47 
На Раст надо было переписывать.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –2 +/
Сообщение от ДмитрийСССР (?), 18-Дек-20, 14:00 
Отличная новость. Надеюсь, когда-нибудь это похоронят и на смену придёт нормальная CMS.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 18-Дек-20, 14:53 
При разработке на "нормальных" CMS надо голову включать, а на WP можно всё делать левой ногой, ни о чём не заботясь (кстати, в этом авторам "нормальных" CMS брать бы пример с WP).
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +1 +/
Сообщение от ДимаРоссийскаяИмперия (?), 18-Дек-20, 15:00 
Ты про Друпал ничего не слышал?
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

15. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –1 +/
Сообщение от Бутерброд с рутением (?), 18-Дек-20, 15:24 
Ну они не так уж и сильно отличаются
https://www.cvedetails.com/product/4096/Wordpress-Wordpress....
https://www.cvedetails.com/product/2387/Drupal-Drupal.html?v...

И если сделать поправку на кол-во пользователей то думаю разница будет минимальна.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +1 +/
Сообщение от Алеша (?), 18-Дек-20, 17:44 
>  не так уж и сильно отличаются

ну кроме того, что у drupal чуть ли не наименьшее кол-во уязвимостей из всех, сколь-либо распространенные CMS на пхп.
а если еще и взять выборку по типу и степени опасности...
> поправку на кол-во пользователей

на протяжении всех нулевых на вордпресс писали уютные бложики для одного васяна и его друзей, в то время как на друпал это были крупнейшие новостные сайты, биржево-информационные и мультимедийные порталы,  и еще черти-какие монстры с миллионами посетителей на один сайт, то есть "на одну установку".
то же самое происходит и сейчас, разве что на вордпресс вообще ничего серьезного не пишут...
или ты кол-во установок считаешь, думаешь что сайт каждого васяна непременно пытаются ломануть все хакеры мира?
> думаю

лучше не делай этого, а то как-то не очень.. а в статистику так вообще...

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Алеша (?), 18-Дек-20, 17:57 
но я не говорю что друпал конфетка, не подумайте ничего такого.
все это дерьмо и фарш с макаронами из говнокода..
но из всех видимых мною ширпотребных cms (а я лет 15 проработал админом по хостингам) у друпала чуть ли не один из самых грамотных подходов по безопасности. там все в обернуто в нужные классы, все сто раз парсится и просто так там не пролезет подобная дрянь с экранированным символом. а так как сама система имеет гораздо более высокий порог вхождения, то и плагины под нее не всякая обезьяна возьмется писать и не каждый даун на нем стенет сайт делать. но они кажется убили эту идеологию в последних версиях...
кстати, если брать форумы, то там таким продуманным пожалуй будет, как ни странно, попсовое ксенфоро...
а знаете кто больше всего плакал горючими слезами? была (и есть наверное) такая cms - magento - там что не дыра, то непременно месяцами ходивший 0-day и миллионы утекших дампов, тысячи обогатившихся хакеров и кардеров...
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –7 +/
Сообщение от Дима (??), 18-Дек-20, 18:03 
https://www.cvedetails.com/product/2387/Drupal-Drupal.html
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

33. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +1 +/
Сообщение от Алеша (?), 18-Дек-20, 18:45 
и что, это как-то идет в разрез с тем что я сказал?
там как раз таки все подтверждает мои слова - кол-во уязвимостей в 3-5 раз меньше (если смотреть по группам).
попробуй перечитать еще раз то что я написал и попытаться осмыслить что ли, а не просто ссылки сыпать подтверждающие мои слова
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 19-Дек-20, 14:53 
> Ты про Друпал ничего не слышал?

Про шестой слышал, про седьмой лучше бы уже не слышал.

А так -- TYPO3.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

77. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от InuYasha (??), 20-Дек-20, 11:27 
Что !так с седьмым?
Говорят, там даже интеграцию с LDAP завезли.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Ковид2024 (?), 18-Дек-20, 16:33 
А имя давать в виде хэша нельзя?
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +2 +/
Сообщение от Аноним (38), 18-Дек-20, 22:14 
Можно, но для современных борзописцев это слишком сложно.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (38), 18-Дек-20, 22:15 
В самом унылом случае - просто dechex кодировать.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

40. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (38), 18-Дек-20, 22:15 
bin2hex
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (21), 18-Дек-20, 16:53 
Это уже вторая критическая уязвимость в этом плагине на моей памяти.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –1 +/
Сообщение от BlackRot (ok), 18-Дек-20, 22:49 
Юзаю этот плагин. Увидел новость - сразу обновил на всех своих сайтах.
Впервые меня это тоже касалось и не
успел пострадать что уже хорошо.
Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +3 +/
Сообщение от Led (ok), 19-Дек-20, 20:06 
>не успел пострадать

жаль...

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +2 +/
Сообщение от Аноним (22), 18-Дек-20, 17:15 
Вся проблема в сишных дыренях говорили растоманы. Вся проблема в указателях говорили растоманы. Вся проблема в динамической памяти говорили растоманы.

А пэхаписты ничего не говорили, просто писали на безопасном языке новые дырени.

Привет фрактал.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (32), 18-Дек-20, 18:15 
> удаление символов-разделителей и управляющих символов из имён загружаемых файлов

Сколько раз говорилось... ээээ... обезьянкам - НЕ СОХРАНЯЙТЕ ФАЙЛЫ С ПЕРЕДАННЫМ ПОЛЬЗОВАТЕЛЕМ ИМЕНЕМ. Генерируйте сами и сохраняйте оригинал в метаданных. Просто во избежание. Нет - всё равно лепят.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  –2 +/
Сообщение от пох. (?), 19-Дек-20, 00:14 
Ну конечно же, ведь файловая система - она ж точно не для сохранения имен файлов.

Сколько ж вас, идиотов...

P.S. да, сохраняйте имена в тазе банных. Как вам, кстати, мой файл "image.gif'; delete * from users" ?

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от unuser (?), 19-Дек-20, 12:19 
А в вашу деревню PDO, видимо, не завезли? Такие имена замечательно сохраняются.
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (66), 19-Дек-20, 16:07 
в wordpress можно использовать PDO?
Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от unuser (?), 19-Дек-20, 23:23 
Это если не использовать дырявый сабж, то за использование при обработке пользовательских запросов mysql_ и mysqli_, место pdo, сечь розгами. Да и в wordpress никто не запрещает, вместо wpdb использовать pdo, обращаясь к бд напрямую, правда, с потерей некоторой функциональности.
А для сабжа есть wpdb::prepare(...) и кто не использует, тот сам себе злобный Буратино.
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (38), 19-Дек-20, 15:58 
Сферическая файловая система в вакууме - да. Но у файловых систем у самих есть ограничения по содержимому имён - это раз, а два - имена могут быть любые, и вовсе не обязательно давать те, что могут внезапно стать исполняемыми или "не вписаться в стандарт ОС/FS/софта".
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

64. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от пох. (?), 19-Дек-20, 16:21 
> Но у файловых систем у самих есть ограничения по содержимому имён

Есть, и что с того? У sql тоже есть некоторые ограничения, если, конечно, не сразу в blob эти имена складывать.

Намек был - что user input валидировать надо в _любом_ случае - и проявления фантазии ограничивать, а за попытки типа предложенной - и вовсе сразу блокировать учетку, поскольку ничего хорошего от такого юзера ждать не приходится - не найдет дырку здесь, поищет рядом -и рано или поздно таки добьется своего.

При этом файловая система посложнее msdos fat - вполне таки пригодна и эффективная для сохранения имен файлов вместе с файлами, без необходимости плодить сущности и создавать новые уязвимости в другом месте. Она вообще-то именно для этого и предназначена. Причем ее писали люди, чья квалификация явно повыше типового phpшника будет.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Атон (?), 18-Дек-20, 18:17 
Я не понял, выявили уязвимость в 5.3.2 или в 5.3.2 устранили уязвимость?

5.3.2
    Removes control, separator, and other types of special characters from filename to fix the unrestricted file upload vulnerability issue.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +1 +/
Сообщение от Аноним (43), 19-Дек-20, 01:16 
Nginx как я понимаю впролете с CMS, которые намертво прибиты к фичам типа htaccess апача?
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (38), 19-Дек-20, 15:59 
nginx и с динамикой без костылей типа unit или CGI в пролёте, так-то.
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (66), 19-Дек-20, 16:51 
Как запускать wordpress в nginx от разработчиков wordpress: https://wordpress.org/support/article/nginx/
От разработчиков nginx: https://www.nginx.com/resources/wiki/start/topics/recipes/wo.../

и даже рекомендации запуск чего блокировать описаны.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

47. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (47), 19-Дек-20, 09:16 
А где уязвимость, если она неэксплуатируемая? Уязвимость - она по определению эксплуатируемая.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (49), 19-Дек-20, 10:49 
Ты не понимаешь это другое!
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Ordu (ok), 19-Дек-20, 10:55 
> Уязвимость - она по определению эксплуатируемая.

Где ты взял это определение уязвимости? Я вот, допустим, ни разу не сталкивался. Поделишься?

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

67. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (66), 19-Дек-20, 16:36 
в nginx - php-fpm можно.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

68. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (66), 19-Дек-20, 16:36 
если успеть путь к файлу подобрать
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (66), 19-Дек-20, 16:06 
>"test.php\t.png"
>$filename = preg_replace( '/[\pC\pZ]+/i', '', $filename );

но ведь это корректное имя файла.
Почему из него нужно разделитель вырезать и как он вообще там оказывается?

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Корец (?), 19-Дек-20, 18:19 
Постоянно идут новости про уязвимости WordPress. С ним определённо что-то не так...
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."  +/
Сообщение от Аноним (75), 20-Дек-20, 05:10 
это потому, что на безопасном попыхе, с растом так же будет.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру