Новая версия CSM Textpattern - 4.5.7
 |
20 сентября 2014 года вышла очередная версия моей любимой системы управления контентом Textpattern 4.5.7. Версия 4.5.6, как пишут сами разработчики, была пропущена по «оплошности». Данное обновление рекомендовано к обязательной установке, так как оно исправляет критическую уязвимость, обнаруженную еще в июле этого года. |
Устраненная брешь в безопасности предоставляла возможность проведения XSS (Cross Site Scripting или «межсайтовый скриптинг») атак сайтов на основе TextPattern, с помощью которой злоумышленник мог выполнить произвольный HTML-код или скрипт в браузере пользователя.
На сегодняшний момент существует PoC-код (демонстрационный код – proof-of-concept) уязвимости. В нем используется функция JavaScript “alert()”, которая отобразит на уязвимом сайте слово “ImmuniWeb”:
http://[host]/textpattern/setup/index.php/%22%3E%3Cscript%3Ealert%28ImmuniWeb%29;%3C/script%3E/index.php
Если вы желаете проверить им свой ресурс, замените [host] на имя сайта.
Произвести несложную процедуру обновление можно так, как я описал в этой статье: Новая версия CMS Textpattern.
Скачать последнюю версию Textpattern вы можете с официального сайта: textpattern.com.
_____________
Источник.
