forum.opennet.ru - "Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster" (21)

"Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster"	+/–
Сообщение от opennews (??), 31-Окт-21, 09:22
В WordPress-дополнении OptinMonster, имеющем более миллиона активных установок и применяемом для организации вывода всплывающих уведомлений и предложений, выявлена уязвимость (CVE-2021-39341), позволяющая разместить свой JavaScript-код на сайте, использующем указанное дополнение. Уязвимость устранена в выпуске 2.6.5. Для блокирования доступа через захваченные ключи после установки обновления разработчики OptinMonster аннулировали все ранее созданные ключи доступа к API и добавили ограничения по использованию ключей WordPress-сайтов для изменения кампаний OptinMonster... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56073
Ответить \| Правка \| Cообщить модератору

Оглавление

Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в п, Аноним (2), 09:25 , 31-Окт-21, (2) +13

Это для тупых людей, а таких много, очень много, настолько много, что это можно , Аноним (12), 10:28 , 31-Окт-21, (12) +8

К великому сожалению, - горькая правда Если бы эта назойливость не работала, е, OpenEcho (?), 12:35 , 31-Окт-21, (30) +1

Не соглашусь Офтопик не работает, но ее производят биллиардами , Аноним (38), 16:17 , 31-Окт-21, (38)

Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле, OpenEcho (?), 17:03 , 01-Ноя-21, (51)
Работает Чего бы не хотелось его ненавистникам , Тот_Самый_Анонимус (?), 10:47 , 04-Ноя-21, (56)

Миллион установок в мире вордпресса - не так и много Менее 5 от всех сайтов, и, Аноним (4), 09:36 , 31-Окт-21, (4) –1
Так это не уязвимость, это обычный бекдор , Урри (ok), 10:44 , 31-Окт-21, (13) +4
Как неожиданно , Аноним (18), 11:46 , 31-Окт-21, (18) –1

Да действительно, для CMS-ки, которая работает на 40 сайтов в сети, весьма неож, QwertyReg (ok), 12:26 , 31-Окт-21, (28) –3

Она же не на расте, значит в топку её Если бы она была на 100 сайтов и на раст, Аноним (35), 15:41 , 31-Окт-21, (35) +1

Не факт Можно и на С https www webtoolkit eu wt, Аноним (38), 16:21 , 31-Окт-21, (40)

Как это знакомо Ща пабыринькому прототип накидаем, основной функционал отработ, YetAnotherOnanym (ok), 11:59 , 31-Окт-21, (25) +4

Как бы 99 современного кода пишется именно таким образом , Аноним (29), 12:34 , 31-Окт-21, (29) +5

Может быть Но одно дело сначала реализовать основной функционал, а потом добави, YetAnotherOnanym (ok), 14:08 , 31-Окт-21, (32)

А кто потом деньги платить будет, когда сразу готовое выставишь , Akteon (?), 18:34 , 31-Окт-21, (44) +1

Скрыто модератором, Msgod (?), 18:21 , 31-Окт-21, (42) +2

Скрыто модератором, Аноним (45), 20:13 , 31-Окт-21, (45) +2

Скрыто модератором, Аноним (18), 23:58 , 31-Окт-21, (47)

Скрыто модератором, Аноним (18), 23:57 , 31-Окт-21, (46)

И название у плагина хорошее, и назначение - соответствует , Akteon (?), 18:32 , 31-Окт-21, (43) +3

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 31-Окт-21, 09:25 +13 +/–

Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в поиске информации с поисковика. Предложение подписаться или чат, любые. Каждый раз проклинаю всех причастных и ухожу навсегда. Неужели это вызывает положительные эмоции у кого-то из посетителей?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

4. Сообщение от Аноним (4), 31-Окт-21, 09:36 –1 +/–

Миллион установок в мире вордпресса - не так и много. Менее 5% от всех сайтов, использующих WP

Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 31-Окт-21, 10:28 +8 +/–

Это для тупых людей, а таких много, очень много, настолько много, что это можно считать нормой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #30

13. Сообщение от Урри (ok), 31-Окт-21, 10:44 +4 +/–

Так это не уязвимость, это обычный бекдор.

Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (18), 31-Окт-21, 11:46 –1 +/–

> В WordPress-...
Как неожиданно!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

25. Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 11:59 +4 +/–

> REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации
Как это знакомо! "Ща пабыринькому прототип накидаем, основной функционал отработаем, а контроль доступа, интернационализацию, поведение под перегрузкой и всякое такое потом прикрутим", потом - "Всё, прототип работает - можно в прод выкатывать".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #44

28. Сообщение от QwertyReg (ok), 31-Окт-21, 12:26 –3 +/–

Да действительно, для CMS-ки, которая работает на 40% сайтов в сети, весьма неожиданно находить увизгвимости.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #35

29. Сообщение от Аноним (29), 31-Окт-21, 12:34 +5 +/–

Как бы 99% современного кода пишется именно таким образом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32

30. Сообщение от OpenEcho (?), 31-Окт-21, 12:35 +1 +/–

К великому сожалению, - горькая правда...
Если бы эта назойливость не работала, ее бы просто никто не производил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #38

32. Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 14:08 +/–

Может быть. Но одно дело сначала реализовать основной функционал, а потом добавить все вспомогательные (но от этого ничуть не менее необходимые) возможности, а другое дело - выкатить побыстрее сырую поделку в прод и на этом успокоиться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

35. Сообщение от Аноним (35), 31-Окт-21, 15:41 +1 +/–

Она же не на расте, значит в топку её. Если бы она была на 100% сайтов и на расте то в ней всё равно бы не было уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #40

38. Сообщение от Аноним (38), 31-Окт-21, 16:17 +/–

Не соглашусь. Офтопик не работает, но ее производят биллиардами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #51, #56

40. Сообщение от Аноним (38), 31-Окт-21, 16:21 +/–

Не факт. Можно и на С https://www.webtoolkit.eu/wt

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

42. Сообщение от Msgod (?), 31-Окт-21, 18:21 +2 +/–

Когда уже пхп закопают. Этот шит давно не нужен, как и пердл. Как и цмс на них.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45, #46

43. Сообщение от Akteon (?), 31-Окт-21, 18:32 +3 +/–

И название у плагина хорошее, и назначение - соответствует ..

Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Akteon (?), 31-Окт-21, 18:34 +1 +/–

А кто потом деньги платить будет, когда сразу готовое выставишь ??

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

45. Сообщение от Аноним (45), 31-Окт-21, 20:13 +2 +/–

Если бы WordPress со всеми своими плагинами из сомнительных источников были бы написаны на C++ или rust. Проблема бы никуда не делась. Проблема именно в сомнительных источниках кода, а не в языке. Если Вы думаете, что на Вашем любимом языке нельзя так накосячить, то глубоко заблуждаетесь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #47

46. Сообщение от Аноним (18), 31-Окт-21, 23:57 +/–

> Когда уже пхп закопают. Этот шит
Похапэшники - самые низкооплачиваемые программисты. Так что никогда не закопают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

47. Сообщение от Аноним (18), 31-Окт-21, 23:58 +/–

> или rust. Проблема бы никуда не делась.
Странно... А растаманы по другому говорят...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

51. Сообщение от OpenEcho (?), 01-Ноя-21, 17:03 +/–

> Не соглашусь. Офтопик не работает, но ее производят биллиардами.
Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле и мордакниге, то увидите, что Marketing - это основной источник дохода. Пипл очень ленив, даже искать что-то, что хотят, но проблема в том, что они даже не знают что они хотят, поэтому и работает на ура - "О-о-о, класс, хочу..."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

56. Сообщение от Тот_Самый_Анонимус (?), 04-Ноя-21, 10:47 +/–

Работает. Чего бы не хотелось его ненавистникам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 31-Окт-21, 09:25	+13 +/–
Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в поиске информации с поисковика. Предложение подписаться или чат, любые. Каждый раз проклинаю всех причастных и ухожу навсегда. Неужели это вызывает положительные эмоции у кого-то из посетителей?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #12

4. Сообщение от Аноним (4), 31-Окт-21, 09:36	–1 +/–
Миллион установок в мире вордпресса - не так и много. Менее 5% от всех сайтов, использующих WP
Ответить \| Правка \| Наверх \| Cообщить модератору

12. Сообщение от Аноним (12), 31-Окт-21, 10:28	+8 +/–
Это для тупых людей, а таких много, очень много, настолько много, что это можно считать нормой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #30

13. Сообщение от Урри (ok), 31-Окт-21, 10:44	+4 +/–
Так это не уязвимость, это обычный бекдор.
Ответить \| Правка \| Наверх \| Cообщить модератору

18. Сообщение от Аноним (18), 31-Окт-21, 11:46	–1 +/–
> В WordPress-... Как неожиданно!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #28

25. Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 11:59	+4 +/–
> REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации Как это знакомо! "Ща пабыринькому прототип накидаем, основной функционал отработаем, а контроль доступа, интернационализацию, поведение под перегрузкой и всякое такое потом прикрутим", потом - "Всё, прототип работает - можно в прод выкатывать".
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #29, #44

28. Сообщение от QwertyReg (ok), 31-Окт-21, 12:26	–3 +/–
Да действительно, для CMS-ки, которая работает на 40% сайтов в сети, весьма неожиданно находить увизгвимости.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #35

29. Сообщение от Аноним (29), 31-Окт-21, 12:34	+5 +/–
Как бы 99% современного кода пишется именно таким образом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #32

30. Сообщение от OpenEcho (?), 31-Окт-21, 12:35	+1 +/–
К великому сожалению, - горькая правда... Если бы эта назойливость не работала, ее бы просто никто не производил.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #38

32. Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 14:08	+/–
Может быть. Но одно дело сначала реализовать основной функционал, а потом добавить все вспомогательные (но от этого ничуть не менее необходимые) возможности, а другое дело - выкатить побыстрее сырую поделку в прод и на этом успокоиться.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

35. Сообщение от Аноним (35), 31-Окт-21, 15:41	+1 +/–
Она же не на расте, значит в топку её. Если бы она была на 100% сайтов и на расте то в ней всё равно бы не было уязвимостей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #40

38. Сообщение от Аноним (38), 31-Окт-21, 16:17	+/–
Не соглашусь. Офтопик не работает, но ее производят биллиардами.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #51, #56

40. Сообщение от Аноним (38), 31-Окт-21, 16:21	+/–
Не факт. Можно и на С https://www.webtoolkit.eu/wt
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35

42. Сообщение от Msgod (?), 31-Окт-21, 18:21	+2 +/–
Когда уже пхп закопают. Этот шит давно не нужен, как и пердл. Как и цмс на них.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #45, #46

43. Сообщение от Akteon (?), 31-Окт-21, 18:32	+3 +/–
И название у плагина хорошее, и назначение - соответствует ..
Ответить \| Правка \| Наверх \| Cообщить модератору

44. Сообщение от Akteon (?), 31-Окт-21, 18:34	+1 +/–
А кто потом деньги платить будет, когда сразу готовое выставишь ??
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

45. Сообщение от Аноним (45), 31-Окт-21, 20:13	+2 +/–
Если бы WordPress со всеми своими плагинами из сомнительных источников были бы написаны на C++ или rust. Проблема бы никуда не делась. Проблема именно в сомнительных источниках кода, а не в языке. Если Вы думаете, что на Вашем любимом языке нельзя так накосячить, то глубоко заблуждаетесь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #42 Ответы: #47

46. Сообщение от Аноним (18), 31-Окт-21, 23:57	+/–
> Когда уже пхп закопают. Этот шит Похапэшники - самые низкооплачиваемые программисты. Так что никогда не закопают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #42

47. Сообщение от Аноним (18), 31-Окт-21, 23:58	+/–
> или rust. Проблема бы никуда не делась. Странно... А растаманы по другому говорят...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #45

51. Сообщение от OpenEcho (?), 01-Ноя-21, 17:03	+/–
> Не соглашусь. Офтопик не работает, но ее производят биллиардами. Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле и мордакниге, то увидите, что Marketing - это основной источник дохода. Пипл очень ленив, даже искать что-то, что хотят, но проблема в том, что они даже не знают что они хотят, поэтому и работает на ура - "О-о-о, класс, хочу..."
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #38

56. Сообщение от Тот_Самый_Анонимус (?), 04-Ноя-21, 10:47	+/–
Работает. Чего бы не хотелось его ненавистникам.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #38