Плагины
Уязвимости в Contact Form ][ для WordPress
Найдена уязвимость в плагинах контактной формы WordPress - Contact Form версии 2.0.13 и ниже. Плохая защита от ботов: отсутствие капчи, позволяет спам-ботам отправлять неограниченное количество спам-сообщений администратору сайта. Использование функционала для рассылки спама: в форме контактов есть поле которое называется "Отправить копию самому себе", это настраивается в настройках плагина (CarbonCopy Ability), используя это поле, спам читать далее ..
XSS уязвимость плагина Nextgen gallery
В плагине Nextgen Gallery, версии <= 0.96 была найдена уязвимость XSS Злоумышленник, может без авторизации использовать следующий скрипт: http://[host]/[directory]/wp-admin/admin.php?page=nggallery-manage-gallery Насколько известно, исправлений в данный момент не существует.
Уязвимость в плагине WordPress Spreadsheet 0.6
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «ss_id» сценарием ss_load.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Эксплоит: http://site.com/wp-content/plugins/wpSS/ss_load.php?ss_id=1+and+ (1=0)+union+select+1,concat(user_login,0x3a,user_pass,0x3a,user_email), 3,4+from+wp_users--&display=plain
Уязвимости в плагинах wp-people, Simple Forum, WP Photo Album, Search Unleashed, Sniplets
Очередная порция уязвимостей в нескольких плагинах WordPress. Если Вы используете какие-то из этих плагинов, рекомендую отключить их, до выхода новых версий плагинов с исправлениями уязвимостей. WP People <= 1.6 уязвимость SQL иньекция. Параметр person некорректно фильтруется. Это может быть использовано для нарушения работы базы данных WordPress блога. Simple Forum < 2.1 (Build 237) Параметры Forum читать далее ..
Уязвимость плагина WP-Photo-Album
Найдена уязвимость в плагине WP-Photo-Album, позволяющая злоумышленнику, делать удаленные запросы к MySQL базе данных блога. Рекомендуется отключить плагин, до выхода исправлений.
Обновлен плагин wp-no-version
Плагин предназначен для осложнения идентификации версии WordPress которая установлена на вашем блоге. В последнем релизе, плагин не убирает отображение версии WordPress для зарегистрированных пользователей. Это было сделано, для поддержки функции автоматической проверки обновлений WordPress. Скачать свежую версию плагина можно здесь. Работоспособность плагина, проверена на WordPress 2.3.3.
