ARKA
|
ARMBANKS
USD
381.24
EUR
442.43
RUB
4.904
GEL
141.15
среда, 3 декабря 2025 г.
погода в
Ереване
-1
НОВОСТИ » Интернет » Уязвимость в WordPress позволяет отключить атакуемые сайты
Интернет

Уязвимость в WordPress позволяет отключить атакуемые сайты

06.02.2018, 11:15
В WordPress обнаружена простая, но серьезная уязвимость на уровне приложения
Уязвимость в WordPress позволяет отключить атакуемые сайты

ЕРЕВАН, 6 февраля. /АРКА/. В WordPress обнаружена простая, но серьезная уязвимость на уровне приложения, позволяющая вызвать отказ в обслуживании и отключить множество сайтов. Как правило, для осуществления подобной DDoS-атаки на уровне сети нужны большие объемы трафика, однако недавно обнаруженная уязвимость позволяет добиться желаемого эффекта с помощью всего лишь одного компьютера.

Как сообщает securitylab.ru, производитель отказывается выпускать исправление, поэтому уязвимость (CVE-2018-6389) присутствует практически во всех версиях WordPress, выпущенных за последние девять лет, в том числе в последнем стабильном релизе 4.9.2. Проблема была обнаружена израильским исследователем безопасности Бараком Тауили (Barak Tawily) и связана с тем, как встроенный в систему скрипт load-scripts.php обрабатывает определяемые пользователем запросы.

С помощью файла load-scripts.php администраторы могут улучшать производительность сайтов и повышать скорость загрузки страниц путем объединения (на стороне сервера) нескольких JavaScript-файлов в один запрос. Однако для включения load-scripts.php на странице администратора (wp-login.php) авторизация не требуется, то есть, функция доступна каждому.

В зависимости от установленных плагинов и модулей файл load-scripts.php выборочно вызывает необходимые файлы JavaScript, передавая их имена в параметр «load» через запятую.

При загрузке сайта load-scripts.php (упомянутый в начале страницы) пытается найти имя каждого файла JavaScript, указанного в URL-адресе, добавить их содержимое в один файл и отправить обратно браузеру пользователя.

По словам Тауили, злоумышленник может заставить load-scripts.php вызвать все возможные файлы JavaScript (то есть, 181 скрипт), передав их имена в URL-адресе. Таким образом атакующий сможет существенно замедлить работу сайта. Тем не менее, одного запроса недостаточно для того, чтобы полностью «положить» сайт. Поэтому Тауили использовал PoC-скрипт doser.py, отправляющий большое количество одновременных запросов на один и тот же URL-адрес, пытаясь использовать как можно больше ресурсов процессоров серверов и тем самым снизить их производительность. -0-
#WORDPRESS
#УЯЗВИМОСТЬ
Плановые профилактические работы пройдут в цифровой телесети Армении этой ночью
Плановые профилактические работы запланированы в цифровой телевизионной сети Армении предстоящей ночью
02.12.2025 12:36
Google урезала бесплатный доступ к Gemini 3 Pro и Nano Banana Pro
Причина - высокий спрос
28.11.2025 13:25
OpenAI подтвердила утечку большого массива данных пользователей через Mixpanel
Утечка произошла из-за бага в стороннем инструменте веб-аналитики Mixpanel
28.11.2025 10:01
Microsoft упростит процесс удаления приложений для Windows 11
Пользователи смогут делать это прямо на вкладке «Библиотека» в официальном магазине цифрового контента
27.11.2025 10:02
В США искусственный интеллект уже может заменить половину рабочих мест
Однако взамен появятся новые профессии
26.11.2025 17:45
TUMO удостоен премии «WISE Prize for Education» в $1 млн. за новую программу обучения ИИ
Армянский центр креативных технологий TUMO удостоился премии «WISE Prize for Education» в размере $1 млн. за новую программу обучения искусственному интеллекту.
26.11.2025 10:01
Превосходство Google подтвердилось: Gemini 3 разгромила конкурентов в тестах
Модель уверенно справилась со сложными задачами и редкими языками — в том числе демонстрируя лучшие результаты при письме на гуджарати
25.11.2025 15:11
Удар по фабрикам троллей: соцсеть X начала показывать местоположение аккаунтов
Американские СМИ давно пишут о том, что соцсеть X (бывшая Twitter) является главной площадкой для кампаний иностранного влияния на политическую обстановку в США
25.11.2025 10:06