11.08.2009, 23:33 | #1 |
Пафосный резидент
Регистрация: 14.07.2008
Адрес: Pegia
Сообщений: 2,180
Вес репутации: 309
|
WordPress конкретно ломанули
Обнаружилась уязвимость движка Wordpress. Простейшим Get-запросом из браузера можно сбросить администраторский пароль на любой версии движка.
Захватить блог таким образом не получится, но блокировать работу владельца - вполне. Обновление пока не вышло. Источник: http://molva150.ru/sluhi/141-user.html |
11.08.2009, 23:36 | #2 |
Глобальный Wordpress'овед
|
Никак они не заблокируют работу, можно зайти в базу и вписать новый пароль прямо в таблицу, через md5
__________________
Стабильный хостинг - Хочешь скидку 25% на любой НОВЫЙ заказ? Напиши! Недорогие услуги по Wordpress |
11.08.2009, 23:36 | #3 |
Bannеd
Регистрация: 17.09.2008
Сообщений: 6,446
Вес репутации: 368
|
забаньте этот запрос в хттпд.конф или в корневом хтаксессе и делов то
|
11.08.2009, 23:48 | #4 |
ашипка
Регистрация: 05.04.2008
Адрес: Зазеркалье
Сообщений: 2,707
Вес репутации: 388
|
Чего там в первом посте ТС за ссылку давал не читала... Но вот насчет этого - вдруг будет прецедент - поможешь? Серьезно.
__________________
|
11.08.2009, 23:51 | #5 | |
пусто
Регистрация: 28.10.2007
Сообщений: 3,115
Вес репутации: 370
|
Цитата:
и что за говносайт в источнике? Добавлено через 1 минуту проще по эмэйлу восстановить, чем конвертить в мд5 и совать в базу
__________________
Последний раз редактировалось Администрация 6-ой палаты; 11.08.2009 в 23:51. Причина: Добавлено сообщение |
|
11.08.2009, 23:54 | #6 |
Туру-туру
Регистрация: 11.02.2008
Адрес: Украина
Сообщений: 1,224
Вес репутации: 240
|
aship, запрос покажи, тоже на ГС проверю
__________________
|
11.08.2009, 23:54 | #7 |
Глобальный Wordpress'овед
|
Было у меня такое у знакомого, через мыло не шло даже востановить
__________________
Стабильный хостинг - Хочешь скидку 25% на любой НОВЫЙ заказ? Напиши! Недорогие услуги по Wordpress |
12.08.2009, 00:10 | #8 | ||
Пафосный резидент
Регистрация: 14.07.2008
Адрес: Pegia
Сообщений: 2,180
Вес репутации: 309
|
Цитата:
Лично не проверял, у меня нет сайтов на WP, но у двух знакомых пароли сегодня сбросили. Цитата:
http://seclists.org/fulldisclosure/2009/Aug/0113.html |
||
12.08.2009, 00:18 | #9 |
Специалист
Регистрация: 19.01.2009
Адрес: вебмастеринг
Сообщений: 386
Вес репутации: 199
|
Нашел запрос, проверил, просто сбрасывает пароль и отправляет на мыло админу новый, вот и все
__________________
|
12.08.2009, 00:23 | #10 | ||
пусто
Регистрация: 28.10.2007
Сообщений: 3,115
Вес репутации: 370
|
Цитата:
Цитата:
даже ничего не сбрасывает, под старым можно снова зайти
__________________
Последний раз редактировалось Администрация 6-ой палаты; 12.08.2009 в 00:23. Причина: Добавлено сообщение |
||
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Яндекс.Вебмастер колбасит конкретно | maxroje | Яндекс | 21 | 06.08.2009 04:56 |
Wordpress vs DLE | buxfactor | Разработка и сопровождение сайтов | 11 | 03.07.2009 12:31 |
Система конкретно глучит. | Nark | Ошибки при работе с системой | 3 | 08.10.2008 12:05 |
Какой конкретно код прописывать? | Pribytok | Вопросы от новичков | 1 | 10.05.2008 12:29 |
ууу блин, парюсь конкретно, подскажите, тупой я наверное )) | wise | Вопросы по работе системы | 12 | 03.07.2007 01:06 |
Часовой пояс GMT +3, время: 16:02.