Украинские хакеры объявили о серьезной уязвимости в WordPress

В Интернет партии Украины, основанной бывшим хакером Дмитрием Голубовым, объявили об обнаружении уязвимости в движке WordPress.

«Штатным хакером Интернет партии Украины Dementor’ом была обнаружена активная XSS в популярном движке WordPress, который сейчас очень активно используется на многих веб сайтах. Уязвимость присутствует из-за недостаточной фильтрации входящих данных. Проверенные версии WordPress: 3.5 и 3.5.1 (возможно есть и на более ранних), проверенные браузеры: Opera и Google Chrome», — рассказал основатель партии.

Чтоб воспользоваться уязвимостью, необходимо иметь права редактора либо админа. При размещении в тело сообщения JavaScript-кода, обозначенного на сайте партии (и на изображении ниже), злодей получает возможность атаковать всех юзеров, которые зайдут поглядеть контент на веб-сайте. В партии молвят, что уже сказали об уязвимости разработчикам WordPress.

В партии также сказали, что проверки разных ресурсов UA-IX проявили огромное количество уязвимостей в зоне gov.ua.