"Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок" | +/– |  |
| Сообщение от opennews (?), 02-Сен-20, 12:22 | ||
В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске 6.9... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по ответам | RSS] |
| 1. Сообщение от TormoZilla (?), 02-Сен-20, 12:22 | +5 +/– | |
Пишите свои движки. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #3, #4, #13, #15, #16, #20 | ||
| 2. Сообщение от nebularia (ok), 02-Сен-20, 12:24 | +2 +/– |  |
Ну как всегда | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 3. Сообщение от Аноним (3), 02-Сен-20, 12:30 | –1 +/– | |
Может, сразу Wt. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 4. Сообщение от КО (?), 02-Сен-20, 12:40 | +19 +/– | |
Изобретайте ЯП с нуля, ага, ОС свои ставьте, интернет, давайте ещё параллельную вселенную заделаем | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 Ответы: #9 | ||
| 8. Сообщение от Аноним (8), 02-Сен-20, 13:29 | +9 +/– | |
Никогда такого не было и вот снова :) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #11 | ||
| 9. Сообщение от Аноним (9), 02-Сен-20, 13:48 | +8 +/– | |
гугля так и делает | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #4 | ||
| 10. Сообщение от Аноним (9), 02-Сен-20, 13:49 | +3 +/– | |
вордхоул, дыропресс. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #12, #37 | ||
| 11. Сообщение от Аноним (11), 02-Сен-20, 13:50 | –2 +/– | |
Нигде такого не было, ага? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #8 Ответы: #27 | ||
| 12. Сообщение от Аноним (11), 02-Сен-20, 13:51 | –3 +/– | |
Дыры у тебя в глазах и голове. ВП-то тут причем? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #10 Ответы: #31, #34, #46 | ||
| 13. Сообщение от Аноним (13), 02-Сен-20, 13:54 | +6 +/– | |
Речь в новости не про движок а про плагин. Плагины делают васяны. Там из маркета можно установить плагин с 10 установок, который никто на уязвимости проверять не будет. Несколько раз держал вордпрессы и никто плагинами не пользовался, легко гуглится как сделать что-то без плагинов. Там форма обратной связи, генератор сайтмапа, кнопки для репостинга в соц сетки. Всё уже готовое есть и простое без плагинов. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 Ответы: #14 | ||
| 14. Сообщение от Аноним (13), 02-Сен-20, 13:56 | +4 +/– | |
Да ещё читая логи на сервере можно видеть как за день тысячи ботов сканируют сайт на вот эти самые уязвимости в плагинах. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #13 Ответы: #28 | ||
| 15. Сообщение от Аноним (15), 02-Сен-20, 13:58 | +/– | |
смешно, но древние самописные сайты из 2000х до сих пор работают без какой-либо поддержки. это не значит конечно что там дыр нет, но лучше уж так чем автоматические вломы | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 Ответы: #29 | ||
| 16. Сообщение от аноним12345 (?), 02-Сен-20, 13:58 | +/– | |
Давно | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 17. Сообщение от Самый Лучший Гусь (?), 02-Сен-20, 14:12 | +1 +/– | |
Ну и юморина | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 18. Сообщение от InuYasha (??), 02-Сен-20, 14:51 | +1 +/– | |
Когда граница между даными и инструкциями размыта, жди беды. А с вёбом всегда так было. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 19. Сообщение от ДмитрийСССР (?), 02-Сен-20, 14:53 | +1 +/– | |
А кто-то может объяснить такую популярность именно WordPress? Я смотрел его внутри, он убог же по самое не хочу, есть же другие CMS которые имеют более хорошую архитектуру, более понятную, и они так-же бесплатны и имеют плагины, почему именно WP? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #21, #22 | ||
| 20. Сообщение от Аноним (20), 02-Сен-20, 14:55 | +/– | |
https://blogengine.ru | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 Ответы: #23 | ||
21.
Сообщение от Аноним (21), 02-Сен-20, 15:11
| +2 +/– |  |
Думаю потому, что либо в хостинг панели в один клик, либо в aws/etc в докере в один клик... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #19 | ||
| 22. Сообщение от Аноним (22), 02-Сен-20, 15:18 | +/– | |
Потому что в WP искаропки работает почти все, что нужно для простого нескучного сайта/бложика без всяких плагинов, виджетов и кодинга - это именно то, что нужно хомячку. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #19 Ответы: #24 | ||
| 23. Сообщение от Аноним (23), 02-Сен-20, 15:48 | +/– | |
И зачем тут это кусок удобрения? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #20 Ответы: #30, #49 | ||
| 24. Сообщение от microsoft (?), 02-Сен-20, 16:33 | +/– | |
Что из не дырявых насоветуете?? Можно и не на пыхе писаные | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #22 Ответы: #25, #26, #43 | ||
| 25. Сообщение от Аноним (25), 02-Сен-20, 16:50 | +/– | |
Любой генератор статики, типа hugo/hexo. Дыр не будет по определению. Не всем подойдёт, конечно, но для стандартных задач, решаемых обычно вордпрессом, вполне. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 | ||
| 26. Сообщение от Аноним (26), 02-Сен-20, 17:20 | +/– | |
Таковых в природе нет. Лопайте, что дают. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 | ||
| 27. Сообщение от Mark (??), 02-Сен-20, 18:19 | +1 +/– | |
Васян пишет плагин жопой, другие васяны ему доверяют. Всё по канонам WordPress. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #11 Ответы: #39 | ||
| 28. Сообщение от Аноним (28), 02-Сен-20, 18:50 | +1 +/– | |
нахрена кому-то это все говно сдалось? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #14 Ответы: #41 | ||
| 29. Сообщение от Аноним (28), 02-Сен-20, 18:51 | +2 +/– | |
Таких осталось 10 шутк во всем интернете. Приходя молодое прогрессивное поколение стразу ставит WordPress или Jommla и говорит о том что программисты больше не нужны, а потом по фриланс биржам шастает с вопросами как сделать поддержку более 1_000 клиентов в плагине и т.д. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #15 Ответы: #47 | ||
| 30. Сообщение от Аноним (28), 02-Сен-20, 18:51 | +3 +/– | |
Где удобрение? Мне нужно для растений купить? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #23 | ||
| 31. Сообщение от Аноним (28), 02-Сен-20, 18:53 | +/– | |
Изначально поставили процесс неверно, а теперь результат. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #12 | ||
| 32. Сообщение от Аноним (32), 02-Сен-20, 18:53 | +/– | |
Простенько сложили в кучу - ведь они ж не ошибаются. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 33. Сообщение от Аноним (28), 02-Сен-20, 18:55 | +/– | |
Ну нечего потому что на PHP нанимать школьников делать корпоротивные сайты. Специалисты до 20 - 30 лет изучают разные хитрые технологии и организуют корпорации и делают порталы за сотни тысяч, а тут какие-то смузихлебы решили перевернуть отрасль и что вышло... Только за последние 10 лет одни сообщения о ошибках утечках и дырках. Вот и результат когнда васяны закончив ПТУ лезут в инженерию. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 34. Сообщение от Аноним (34), 02-Сен-20, 19:18 | +/– | |
Пик тоталли рилейтед. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #12 | ||
| 35. Сообщение от Аноним (35), 02-Сен-20, 20:56 | +/– | |
Кто-то, объясните пожалуйста в чём баг именно плагина? Ну позволяет он загрузить файл, ну имя там можно какое-то задать произвольное. Но это ж не в коде плагина exec('${fileNameFromQueryString}) условное зовётся? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #45 | ||
| 36. Сообщение от Аноним (36), 02-Сен-20, 21:03 | +/– | |
700000 уязвимостей | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 37. Сообщение от Аноним (20), 02-Сен-20, 22:13 | +/– | |
Винтерхолд. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #10 | ||
| 38. Сообщение от Аноним (20), 02-Сен-20, 22:56 | +/– | |
Был для пхп вроде модель Runkit_Sandbox который мог ограничивать физическое воздействие в неймспейсах. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #40 | ||
| 39. Сообщение от Онаним (?), 02-Сен-20, 23:09 | +1 +/– | |
А также npm и прочих овнорепозитариев, из которых делатели непроверяемого шлака тянут шлак от других писателей шлака, не проверяя. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #27 | ||
| 40. Сообщение от Онаним (?), 02-Сен-20, 23:10 | +/– | |
Физическое воздействие - это в смысле кувалдочкой по серверу? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #38 | ||
| 41. Сообщение от Аноним (41), 03-Сен-20, 07:48 | +2 +/– | |
Монетизировать же по-чёрному можно. Поставить майнеры, сливать и продавать часть трафика. Злоумышленник знает тонны способов. Там другое мышление, нужно быть в теме чтоб понимать как они это делают. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #28 | ||
| 42. Сообщение от Аноним (42), 03-Сен-20, 09:13 | –3 +/– | |
Уже давно все используют BitrixVM и уязвимостей нет. ВП - прошлый век! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #44, #50 | ||
| 43. Сообщение от Аноним (20), 03-Сен-20, 19:46 | +/– | |
Grav/Gantry5 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 | ||
| 44. Сообщение от Аноним (45), 03-Сен-20, 20:56 | +/– | |
Вордпресс конечно старый, но домохозяйки его наворачивать не перестанут. Напротив, количество сайтов на вордпрессе только растёт, а хостинги автоматически устанавливают в 2 клика. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #42 Ответы: #48 | ||
| 45. Сообщение от Аноним (45), 03-Сен-20, 21:00 | +/– | |
Там насколько понимаю внедрение в admin-ajax происходит. А это что-то типа права рута в вордпрессе, через него например авторизация учётки админа происходит, который решает что установить, залить, где какой код поправить. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #35 | ||
|
46.
Сообщение от Michael Shigorin (ok), 04-Сен-20, 00:44
| +1 +/– |  |
> ВП-то тут причем? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #12 | ||
| 47. Сообщение от Аноним (47), 04-Сен-20, 06:47 | +2 +/– | |
Как можно употреблять слова "молодое и прогрессивное" и "wordpress и Joomla" в одном предложении )) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #29 | ||
| 48. Сообщение от Аноним (20), 04-Сен-20, 15:23 | +/– | |
HDD дисков скоро не хватит на все эти Wordpress | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #44 | ||
|
49.
Сообщение от Michael Shigorin (ok), 04-Сен-20, 15:58
| +/– | |
> И зачем тут это кусок удобрения? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #23 | ||
|
50.
Сообщение от Michael Shigorin (ok), 07-Сен-20, 12:46
| +/– | |
> Уже давно все используют BitrixVM | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #42 | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
