آسیب پذیری Sql Injection در WordPress 4.2.3

آسیب پذیری Sql Injection در WordPress 4.2.3

WordPress 4.2.3 and earlier SQL Injection Vulnerability

روز گذشته آسیب پذیری جدید از وردپرس نسخه 4.2.3 توسط محقق امنیتی به نام ocean90 کشف و اکسپلویت شد آسیب
پذیری جدید به گزارش وب سایت امنیتی cxsecurity در فولدر wp-includes وردپرس و فایل post.php ورژن 4.2.3 وردپرس میباشد.

نفوذگر با استفاده از حملات Sql Injection میتواند اقدام به نفوذ به دیتابیس سایت وردپرسی کند و کنترل وب سایت را به دست بگیرد در هفته گذشته هم آسیب پذیری Cross Site Request Forgery در وردپرس 3.8.1, 3.8.2, و 4.2.2 کشف شد و تیم مدیریت وردپرس اقدام به ارائه ورژن 4.2.3 مدیریت محتوای وردپرس نمود که بعد از مدت کوتاهی آسیب پذیری Sql Injection به ثبت رسید.

آسیب پذیری Sql Injection در ورژن 4.1 وردپرس همانند ورژن 4.2.3 در دیگر فایل های هسته وردپرس توسط محقیقین امنیتی کشف شد.

در حال حاضر وردپرس اقدام به ارائه اپدیت جدید نکرده است و باید منتظر ارائه و دریافت نسخه جدید از وردپرس بود.

با استفاده از آسیب پذیری Cross Site Request Forgery میتوان با ارسال دستورات html در قسمت دیدگاه های وردپرس اقدام به اجرای دستورات جعلی نمود و مدیریت سایت وردپرسی را در دست گرفت




منبع : https://fullsecurity.org/acc/09/%D8%A2%D...4-2-3.html

ولی وردپرس نسخه 4.2.4 رو داده...

نقل قول: WordPress 4.2.4 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

This release addresses six issues, including three cross-site scripting vulnerabilities and a potential SQL injection that could be used to compromise a site, which were discovered by Marc-Alexandre Montpas of Sucuri, Helen Hou-Sandí of the WordPress security team, Netanel Rubin of Check Point, and Ivan Grigorov. It also includes a fix for a potential timing side-channel attack, discovered by Johannes Schmitt of Scrutinizer, and prevents an attacker from locking a post from being edited, discovered by Mohamed A. Baset.

Our thanks to those who have practiced responsible disclosure of security issues.

WordPress 4.2.4 also fixes four bugs. For more information, see the release notes or consult the list of changes.

Download WordPress 4.2.4 or venture over to Dashboard → Updates and simply click “Update Now.” Sites that support automatic background updates are already beginning to update to WordPress 4.2.4.

Already testing WordPress 4.3? The second release candidate is now available (zip) and it contains these fixes. For more on 4.3, see the RC 1 announcement post.

(94-5-18، 11:00 عصر)tikweb نوشته است: ولی وردپرس نسخه 4.2.4 رو داده...

نقل قول: WordPress 4.2.4 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

This release addresses six issues, including three cross-site scripting vulnerabilities and a potential SQL injection that could be used to compromise a site, which were discovered by Marc-Alexandre Montpas of Sucuri, Helen Hou-Sandí of the WordPress security team, Netanel Rubin of Check Point, and Ivan Grigorov. It also includes a fix for a potential timing side-channel attack, discovered by Johannes Schmitt of Scrutinizer, and prevents an attacker from locking a post from being edited, discovered by Mohamed A. Baset.

Our thanks to those who have practiced responsible disclosure of security issues.

WordPress 4.2.4 also fixes four bugs. For more information, see the release notes or consult the list of changes.

Download WordPress 4.2.4 or venture over to Dashboard → Updates and simply click “Update Now.” Sites that support automatic background updates are already beginning to update to WordPress 4.2.4.

Already testing WordPress 4.3? The second release candidate is now available (zip) and it contains these fixes. For more on 4.3, see the RC 1 announcement post.

دقیقا مشکل اینجاست که به فارسی ترجمه نشده 
https://fa.wordpress.org
http://wp-persian.com
این دو سایت مرجع وردپرس فارسی هستند که هیچکدام هنوز وردپرس 4.2.4 رو به فارسی نزدن نظر من اینه که جوملا بهتر و امن تر وردپرس هست که سایت جوملا فارسی هم گذاشتم 
http://www.joomlafarsi.com

چه ارتباطی داشت این پست شما 
هر سیستمی دارای ضعف و قدرت هست مگه میشه امن ترین باشه آخه 
درضمن شما نیاز به فارسی سازی ندارید 
شما بروزرسانی کنید به نسخه جدید و پلاگین wp-parsidate نصب کنید 
هر سری هم بروز رسانی کنید پلاگین درون خودش پارسی ساز داره برای زبان و اصلا مهم نیست 
اگر نیاز به پلاگین ندارید فایل زبان افزونه بردارید و درون نسخه خودتون قرار بدید
تا فارسی بشود

نکته جالب اینجاست که بلاگرز بالاتر از همه سایت ها قرار گرفته انگار اسیب پذیری اول اینجا پابلیک شده

wordpress 4.2.3 sql injection

http://8pic.ir/images/zs076v6x554krc6xqb9k.png

(94-5-18، 11:55 عصر)omidg نوشته است:

(94-5-18، 11:00 عصر)tikweb نوشته است: ولی وردپرس نسخه 4.2.4 رو داده...

نقل قول: WordPress 4.2.4 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

This release addresses six issues, including three cross-site scripting vulnerabilities and a potential SQL injection that could be used to compromise a site, which were discovered by Marc-Alexandre Montpas of Sucuri, Helen Hou-Sandí of the WordPress security team, Netanel Rubin of Check Point, and Ivan Grigorov. It also includes a fix for a potential timing side-channel attack, discovered by Johannes Schmitt of Scrutinizer, and prevents an attacker from locking a post from being edited, discovered by Mohamed A. Baset.

Our thanks to those who have practiced responsible disclosure of security issues.

WordPress 4.2.4 also fixes four bugs. For more information, see the release notes or consult the list of changes.

Download WordPress 4.2.4 or venture over to Dashboard → Updates and simply click “Update Now.” Sites that support automatic background updates are already beginning to update to WordPress 4.2.4.

Already testing WordPress 4.3? The second release candidate is now available (zip) and it contains these fixes. For more on 4.3, see the RC 1 announcement post.

دقیقا مشکل اینجاست که به فارسی ترجمه نشده 
https://fa.wordpress.org
http://wp-persian.com
این دو سایت مرجع وردپرس فارسی هستند که هیچکدام هنوز وردپرس 4.2.4 رو به فارسی نزدن نظر من اینه که جوملا بهتر و امن تر وردپرس هست که سایت جوملا فارسی هم گذاشتم 
http://www.joomlafarsi.com

ببخشید وردپرس 4.2.4 فارسی هست من دو سه روزی هست ابدیت کردم فارسی هست

(94-5-21، 12:33 صبح)Hack!ng نوشته است: نکته جالب اینجاست که بلاگرز بالاتر از همه سایت ها قرار گرفته انگار اسیب پذیری اول اینجا پابلیک شده

wordpress 4.2.3 sql injection

http://8pic.ir/images/zs076v6x554krc6xqb9k.png

نه میلاد جان به خاطر گوگل و کش و... است که در اولویت بالا نمایش داده شده است

(94-5-21، 03:24 عصر)Black_Sky نوشته است:

(94-5-21، 12:33 صبح)Hack!ng نوشته است: نکته جالب اینجاست که بلاگرز بالاتر از همه سایت ها قرار گرفته انگار اسیب پذیری اول اینجا پابلیک شده

wordpress 4.2.3 sql injection

http://8pic.ir/images/zs076v6x554krc6xqb9k.png

نه میلاد جان به خاطر گوگل و کش و... است که در اولویت بالا نمایش داده شده است

فکر کنم حق با میلاده، بنده هم تست کردم. البته رتبه دوم بود.
در ضمن توی private تست کردم، پس کش تاثیری نداره.