The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster"  +/
Сообщение от opennews (??), 31-Окт-21, 09:22 
В WordPress-дополнении OptinMonster, имеющем более миллиона активных установок и применяемом для организации вывода всплывающих уведомлений и предложений, выявлена уязвимость (CVE-2021-39341), позволяющая разместить свой JavaScript-код на сайте, использующем указанное дополнение. Уязвимость устранена в выпуске  2.6.5. Для блокирования доступа через захваченные ключи после установки обновления разработчики OptinMonster аннулировали все ранее созданные ключи доступа к API и добавили ограничения по использованию ключей  WordPress-сайтов для изменения кампаний OptinMonster...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56073

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 31-Окт-21, 09:25   +13 +/
Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в поиске информации с поисковика. Предложение подписаться или чат, любые. Каждый раз проклинаю всех причастных и ухожу навсегда. Неужели это вызывает положительные эмоции у кого-то из посетителей?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

4. Сообщение от Аноним (4), 31-Окт-21, 09:36   –1 +/
Миллион установок в мире вордпресса - не так и много. Менее 5% от всех сайтов, использующих WP
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 31-Окт-21, 10:28   +8 +/
Это для тупых людей, а таких много, очень много, настолько много, что это можно считать нормой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #30

13. Сообщение от Урри (ok), 31-Окт-21, 10:44   +4 +/
Так это не уязвимость, это обычный бекдор.
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (18), 31-Окт-21, 11:46   –1 +/
> В WordPress-...

Как неожиданно!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

25. Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 11:59   +4 +/
> REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации

Как это знакомо! "Ща пабыринькому прототип накидаем, основной функционал отработаем, а контроль доступа, интернационализацию, поведение под перегрузкой и всякое такое потом прикрутим", потом - "Всё, прототип работает - можно в прод выкатывать".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #44

28. Сообщение от QwertyReg (ok), 31-Окт-21, 12:26   –3 +/
Да действительно, для CMS-ки, которая работает на 40% сайтов в сети, весьма неожиданно находить увизгвимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #35

29. Сообщение от Аноним (29), 31-Окт-21, 12:34   +5 +/
Как бы 99% современного кода пишется именно таким образом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32

30. Сообщение от OpenEcho (?), 31-Окт-21, 12:35   +1 +/
К великому сожалению, - горькая правда...
Если бы эта назойливость не работала, ее бы просто никто не производил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #38

32. Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 14:08   +/
Может быть. Но одно дело сначала реализовать основной функционал, а потом добавить все вспомогательные (но от этого ничуть не менее необходимые) возможности, а другое дело - выкатить побыстрее сырую поделку в прод и на этом успокоиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

35. Сообщение от Аноним (35), 31-Окт-21, 15:41   +1 +/
Она же не на расте, значит в топку её. Если бы она была на 100% сайтов и на расте то в ней всё равно бы не было уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #40

38. Сообщение от Аноним (38), 31-Окт-21, 16:17   +/
Не соглашусь. Офтопик не работает, но ее производят биллиардами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #51, #56

40. Сообщение от Аноним (38), 31-Окт-21, 16:21   +/
Не факт. Можно и на С https://www.webtoolkit.eu/wt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

42. Сообщение от Msgod (?), 31-Окт-21, 18:21   +2 +/
Когда уже пхп закопают. Этот шит давно не нужен, как и пердл. Как и цмс на них.  
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45, #46

43. Сообщение от Akteon (?), 31-Окт-21, 18:32   +3 +/
И название у плагина  хорошее, и назначение - соответствует ..
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Akteon (?), 31-Окт-21, 18:34   +1 +/
А кто потом деньги платить будет, когда сразу готовое выставишь ??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

45. Сообщение от Аноним (45), 31-Окт-21, 20:13   +2 +/
Если бы WordPress со всеми своими плагинами из сомнительных источников были бы написаны на C++ или rust. Проблема бы никуда не делась. Проблема именно в сомнительных источниках кода, а не в языке. Если Вы думаете, что на Вашем любимом языке нельзя так накосячить, то глубоко заблуждаетесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #47

46. Сообщение от Аноним (18), 31-Окт-21, 23:57   +/
> Когда уже пхп закопают. Этот шит

Похапэшники - самые низкооплачиваемые программисты. Так что никогда не закопают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

47. Сообщение от Аноним (18), 31-Окт-21, 23:58   +/
> или rust. Проблема бы никуда не делась.

Странно... А растаманы по другому говорят...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

51. Сообщение от OpenEcho (?), 01-Ноя-21, 17:03   +/
> Не соглашусь. Офтопик не работает, но ее производят биллиардами.

Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле и мордакниге, то увидите, что Marketing - это основной источник дохода. Пипл очень ленив, даже искать что-то, что хотят, но проблема в том, что они даже не знают что они хотят, поэтому и работает на ура - "О-о-о, класс, хочу..."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

56. Сообщение от Тот_Самый_Анонимус (?), 04-Ноя-21, 10:47   +/
Работает. Чего бы не хотелось его ненавистникам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру