Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Атака на системы через WordPress-плагин Ninja Forms, насчитывающий более миллиона установок" | +/– | |
Сообщение от opennews (?), 17-Июн-22, 14:35 | ||
В WordPress-дополнении Ninja Forms, имеющем более миллиона активных установок, выявлена критическая уязвимость (CVE пока не присвоен), позволяющая постороннему посетителю получить полный контроль над сайтом. Проблема устранена в выпусках 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11. Отмечается, что уязвимость уже используется для совершения атак и для экстренного блокирования проблемы разработчики платформы WordPress инициировали принудительную автоматическую установку обновления на сайты пользователей... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
3. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от Варенье (?), 17-Июн-22, 15:15 | ||
Кстати, довольно занятный вектор атаки — необязательно звать eval на входные данные, если можно десериализовать класс, в котором определена функция __wakeup() | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Аноним (4), 17-Июн-22, 15:21 | ||
Десериализация это и есть eval. | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +2 +/– | |
Сообщение от Аноним (37), 17-Июн-22, 22:15 | ||
это только в шаблонизаторе Personal Home Page. В языках программирования (а шаблонизатор Personal Home Page таковым не является), десериализация - это десериализация, а не eval. | ||
Ответить | Правка | Наверх | Cообщить модератору |
44. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Аноним (44), 18-Июн-22, 03:23 | ||
Как минимум в Python при десериализации из pickle проблемы те же. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от suffix (ok), 17-Июн-22, 15:26 | ||
В этом и проблема WP - без плагинов он вообще неюзабелен, а плагинов наделали 100500 штук все кому не лень и разумеется пару раз в год через плагины новый взлом сайтов на WP образуется. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от Аноним (8), 17-Июн-22, 15:49 | ||
Если ничего не дописывать, то может и хорош. Но потом заказчику надо тут дописать, там переписать и начинается если и не взломают то сам упадет) | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | –2 +/– | |
Сообщение от suffix (ok), 17-Июн-22, 17:24 | ||
> Если ничего не дописывать, то может и хорош. Но потом заказчику надо | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Ilya Indigo (ok), 17-Июн-22, 21:34 | ||
Есть фреймвёрки Yii и Laravel и что-то я не помню новостей об уязвимости в них. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
32. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Аноним (32), 17-Июн-22, 21:47 | ||
В Laravel достаточно много уязвимостей было. Хотя бы про смену шифрования кук должны были слышать. И это не считая того, что каждый первый "крутой разработчик" отключает все возможные встроенные средства защиты, потому что ему "не удобно так". Так что во всех этих сайтах ошибок не меньше, чем в WP, если бы они были кому интересны. | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от Аноним (49), 18-Июн-22, 10:42 | ||
Так это ж не CMS, где покликал и готово, там програмировать надо. | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
9. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | –6 +/– | |
Сообщение от Ooiiii (?), 17-Июн-22, 16:03 | ||
> исконно русский, православный Битрикс | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
13. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от 1 (??), 17-Июн-22, 16:54 | ||
Ну может взломов сайтов и не происходит, но как его делают источником DDoS атак - запросто. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
15. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 17-Июн-22, 17:13 | ||
> Ну может взломов сайтов и не происходит, но как его делают источником | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от пох. (?), 17-Июн-22, 18:18 | ||
> Вторым способом можно и в nginx запретить все перенаправления через rk.php, redirect.php и | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 17-Июн-22, 18:50 | ||
rk.php - это rk значит "реклама" - фигня для учёта эффективности рекламных компаний (переходов и т.п.). В принципе вещь полезная, при грамотной настройке конечно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
65. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от rustian (?), 24-Июн-22, 00:21 | ||
о господи, вот как раз инструкций по настройке битрикса не хватало на опеннете. | ||
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору |
67. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 24-Июн-22, 07:14 | ||
Да, Битрикс прямо скажем не идеален, и косяков в нём хватает. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от пох. (?), 17-Июн-22, 18:16 | ||
> То ли дело наш, исконно русский, православный Битрикс. Полностью работоспособен прямо из коробки | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
31. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 17-Июн-22, 21:44 | ||
> цена коробки неподъемна | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от пох. (?), 18-Июн-22, 02:24 | ||
Там со всех сторон пороги. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Anonim (??), 17-Июн-22, 18:48 | ||
Лучше иметь проблемы с Wordpress, чем Битрикс будет иметь вас. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
25. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Аноним (25), 17-Июн-22, 20:43 | ||
Прямо сейчас юзаю xss битрикса. Админку взять не проблема. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
26. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | –1 +/– | |
Сообщение от suffix (ok), 17-Июн-22, 20:47 | ||
Ну если Вы находите где-то идиотов которые отключают "Проактивную защиту" (в которой разумеется защита от xss есть) то это не значит что Битрикс не защищён из коробки. | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | –1 +/– | |
Сообщение от Sergey (??), 17-Июн-22, 21:41 | ||
Это скорее асего потому что этот битрикс используется только на 2х сайтах. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
34. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от suffix (ok), 17-Июн-22, 21:52 | ||
Самому не стыдно ? | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Аноним (35), 17-Июн-22, 22:02 | ||
Тонкий способ пропиарить свой сайт. | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 17-Июн-22, 22:12 | ||
Мне пиар не нужен. | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Sergey (??), 18-Июн-22, 00:05 | ||
Дело не в пиаре. | ||
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору |
38. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Sergey (??), 17-Июн-22, 23:49 | ||
Обычно битрикс используют виндузятники. | ||
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору |
46. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 18-Июн-22, 07:18 | ||
1. Битрикс не работает на iis сервере | ||
Ответить | Правка | Наверх | Cообщить модератору |
63. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Анон1211 (?), 19-Июн-22, 01:56 | ||
Супр к примеру https://www.cy-pr.com/ | ||
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору |
41. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от DEF (?), 18-Июн-22, 00:31 | ||
>То ли дело наш, исконно русский, православный Битрикс | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
47. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 18-Июн-22, 07:20 | ||
Да-да, миллионы мух не могут ошибаться :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от DEF (?), 18-Июн-22, 16:48 | ||
Не ошибаются только любители свиней, пропагандируя ущербный Битрикс, чья рыночная доля менее 1 процента. | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 18-Июн-22, 17:23 | ||
> Не ошибаются только любители свиней, пропагандируя ущербный Битрикс, чья рыночная доля | ||
Ответить | Правка | Наверх | Cообщить модератору |
54. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от DEF (?), 18-Июн-22, 17:38 | ||
Именно. Этот мусор еще и платный. За что там платить? За гораздо более худшую в плане архитектуры и качества кодовой базы, чем WordPress, ЦМСку? Пусть это кушают любители хрюш. Нормальные люди выбирают наименьшее из зол - WordPress. | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 18-Июн-22, 17:42 | ||
К сожалению ваш аргумент о нормальных людях полностью несостоятен ибо неадекват не способен объективно оценивать реальность. | ||
Ответить | Правка | Наверх | Cообщить модератору |
56. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от DEF (?), 18-Июн-22, 18:57 | ||
Все верно. Вы и есть недекват, не способный объективно оценивать реальность. Жуйте свой Битрикс в своем хлеву молча, вместе со своими свиньями, свинопас. И не лезьте к адекватным людям со своими советами. | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 18-Июн-22, 19:03 | ||
1. Хамство признак проигрыша в споре | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от DEF (?), 18-Июн-22, 21:57 | ||
1. Хамить ты первый начал, шизик. | ||
Ответить | Правка | Наверх | Cообщить модератору |
59. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от suffix (ok), 18-Июн-22, 22:18 | ||
И сколько мне платят :))) ? | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от DEF (?), 18-Июн-22, 22:30 | ||
Господин свинопас, не пропускайте прием таблеток, который назначил вам ваш лечащий врач. Выздоравливайте! | ||
Ответить | Правка | Наверх | Cообщить модератору |
43. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Аноним (43), 18-Июн-22, 03:20 | ||
Из свежего, CVE-2022-27228 - 9.8 полуляхов из 10 | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
64. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Доктор Дью (?), 21-Июн-22, 08:41 | ||
:) | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +2 +/– | |
Сообщение от Аноним (11), 17-Июн-22, 16:20 | ||
WordPress: Ясно, понятно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от th3m3 (ok), 17-Июн-22, 16:43 | ||
О, продолжение сериала про днище Wordpress и его плагины) Достаю попкорн. | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от Аноним (19), 17-Июн-22, 18:39 | ||
> В WordPress ... выявлена критическая уязвимость | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Без аргументов (?), 18-Июн-22, 00:29 | ||
Им нужно определиться, либо просеивать муку и сливать макароны, либо это. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +3 +/– | |
Сообщение от Sw00p aka Jerom (?), 17-Июн-22, 20:00 | ||
>разработчики платформы WordPress инициировали принудительную автоматическую установку обновления на сайты пользователей. | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +3 +/– | |
Сообщение от Kuromi (ok), 17-Июн-22, 20:47 | ||
Собственно чему удивляться, давным давно неплохим способом защитить свою CMS-очку было изменить в заголовках отдаваемое название на Wordpress и накидать в корень сайта фальшивых PHP файлов (с NOOP внутри) с названиями как у Вордпрессовских. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Аноним (43), 18-Июн-22, 03:28 | ||
Долбят боты. Пройдитесь на досуге Acunetix по своему сайту, сильно удивитесь | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Наноним (?), 18-Июн-22, 16:23 | ||
Долбятся боты. Очень удобно написать ботов для Wordpress, а потом натравливать их на миллионы Wordpress сайтов, среди которых наверное большинство вовремя не обновляется. И ломаются они также автоматически. С точки зрения ботописателей Wordpress - это просто идеал решета, на котором можно заработать. | ||
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору |
61. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от InuYasha (??), 19-Июн-22, 00:02 | ||
Когда-то была у меня оч хорошая по тем временам ЦМСка на базе PostNuke. Держалась долго и крепко под натисками ботов. Потом однажды не выдержал и поменял "made with PN" на что-то более нестандартное и - БАБАХ! - apache/error.log опустел. :) Да, боты. Ну, вот и прекрасно. | ||
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору |
62. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Kuromi (ok), 19-Июн-22, 01:46 | ||
> Когда-то была у меня оч хорошая по тем временам ЦМСка на базе | ||
Ответить | Правка | Наверх | Cообщить модератору |
66. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от rustian (?), 24-Июн-22, 00:24 | ||
не хочу вас расстраивать, но это не защита, а говно ) | ||
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору |
68. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +/– | |
Сообщение от Kuromi (ok), 28-Июн-22, 22:47 | ||
> не хочу вас расстраивать, но это не защита, а говно ) | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от microsoft (?), 17-Июн-22, 21:00 | ||
> инициировали принудительную автоматическую установку | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Атака на системы через WordPress-плагин Ninja Forms, насчиты..." | +1 +/– | |
Сообщение от Адмирал Майкл Роджерс (?), 17-Июн-22, 21:48 | ||
Именно так, сэр. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |