В WordPress-дополнении UpdraftPlus, имеющем более 3 млн активных установок, выявлена опасная уязвимость (CVE-2022-0633), позволяющая стороннему пользователю загрузить копию базы данных сайта, в которой кроме контента содержатся параметры всех пользователей и хэши паролей. Проблема устранена в выпусках 1.22.3 и 2.22.3, которое рекомендуется как можно скорее установить всем пользователям UpdraftPlus...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=56726

• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,жявамэн, 09:15 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 09:42 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 10:18 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Тинус Лорвальдс, 12:59 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 15:19 , 19-Фев-22
          • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Тинус Лорвальдс, 16:32 , 19-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 10:18 , 19-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Иваня, 10:22 , 19-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,bOOster, 10:33 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,bugmenot, 11:04 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 11:37 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:31 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Sylvia, 00:25 , 20-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:33 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 13:12 , 19-Фев-22
          • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 18:51 , 19-Фев-22
            • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 19:01 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 14:22 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,vitektm, 23:51 , 20-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,bOOster, 04:31 , 22-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 10:41 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,bugmenot, 11:05 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 11:15 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:34 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:55 , 19-Фев-22
          • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 18:49 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 14:23 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 15:01 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 15:14 , 19-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 10:51 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 11:05 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 11:22 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 13:04 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 11:39 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 11:48 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:14 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 13:07 , 19-Фев-22
          • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 13:15 , 19-Фев-22
            • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 13:26 , 19-Фев-22
              • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 15:15 , 19-Фев-22
            • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 14:14 , 19-Фев-22
              • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,., 22:09 , 19-Фев-22
          • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,th3m3, 13:59 , 19-Фев-22
            • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 14:16 , 19-Фев-22
              • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,th3m3, 14:48 , 19-Фев-22
                • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 15:06 , 19-Фев-22
                  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 15:13 , 19-Фев-22
                    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 16:09 , 19-Фев-22
                  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,th3m3, 15:20 , 19-Фев-22
                    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 16:10 , 19-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 11:30 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Типичный бизнес, 11:42 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 11:45 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,пох., 13:27 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 14:13 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:00 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,пох., 12:31 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:18 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:55 , 19-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,псевдонимус, 12:02 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 15:16 , 19-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 12:26 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Дегенератор, 15:37 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 18:33 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,пох., 19:15 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 07:22 , 20-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Онаним, 14:14 , 19-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Смузихлёб, 18:09 , 19-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 18:14 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Смузихлёб, 18:59 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 20:32 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,пох., 19:17 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 20:31 , 19-Фев-22
        • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 10:33 , 20-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 18:31 , 19-Фев-22
    • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Смузихлёб, 18:58 , 19-Фев-22
      • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,Аноним, 07:24 , 20-Фев-22
  • Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,vitektm, 23:55 , 20-Фев-22
• Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем ...,gagagaga, 15:26 , 20-Фев-22

Пхп

С вашим ником как-то log4j вспомнился...

Так в пхп и конкретно в вордпрессе дыры уровня log4j каждую неделю происходят, ор.

таки каждую неделю? да ещё и уровня log4j? какую ещё бредятину ты здесь напишешь?
https://www.cvedetails.com/vulnerability-list/vendor_id-74/p...

>> Так в пхп и конкретно в вордпрессе
> таки каждую неделю? да ещё и уровня log4j? какую ещё бредятину ты
> здесь напишешь?
> https://www.cvedetails.com/vulnerability-list/vendor_id-74/p...

Ты при копировании ссылки немного ошибся:
https://www.cvedetails.com/vulnerability-list/vendor_id-2337...

утверждение было про пхп. претензия мимо.

Целая неделя без критических дыр в вордпрессе? Это победа я считаю срочно всем переходить на вордпресс.

Про WordPress можете больше не писать таких новостей. WordPress is the default hole. ^_^/

WordPress это вообще сплошная дырка от бублика.
Ну или butthole, в которую регулярно, что-то пихают.

Лишь бы накинуть... Сам по себе ВП безопасный и дыр а нем не много, в основном все старые. Уязвимость в стороннем ПЛАГИНЕ, который может написать любой.

И что это меняет, а в node.js дыры в npm. Чем от это вордпресс-то выигрывает. Может вордпрессу простоя заняться аудитом плагинов.  Но нет они будет ждать пока им напихают побольше дыр.  

Зачем им проводить аудит сторонних плагинов, это же работать надо...

Бесплатно работать, проверять тысячами штук.

проверяют,
но, как известно всё всё всё проверить на абсолютно всё нельзя.

Хотя я честно говоря не понимаю тех, кто использует плагины для бэкапов,
mysqldump + tar по крону, просто и надежно ;)

Покажите дыры в npm. Хотя бы 3

Как заказывали:
https://www.cvedetails.com/product/44073/Npmjs-NPM.html?vend...
Три шт.

3 уязвимости за примерно 10 лет это считай что нет

Вы попросили, я дал. Не прорабатывал вопрос. Не могу сказать с какого момента в источнике идет наблюдение.
Так или иначе, нода не плохой инструмент. Был.
Будущее таки за wasm.

Ор ты серьёзно собрался защищать безопасность npm?

В npm есть дыры в любых количествах

https://www.opennet.me/opennews/art.shtml?num=56318
https://www.opennet.me/opennews/art.shtml?num=56104
https://www.opennet.me/opennews/art.shtml?num=56479

Напиши крутую CMS завоюй долю равную хотя бы 1/10 , и тогда можешь кричать они бракоделы, а я рыцарь в доспехах. Пока ты балобол не более

> Напиши крутую CMS завоюй долю равную хотя бы 1/10 , и тогда
> можешь кричать они бракоделы, а я рыцарь в доспехах. Пока ты
> балобол не более

Ты дурaчек чтоле? В 90% CMS сайту вообще не нужна. Поэтому проще один раз выдать из любой CMS традиционный HTML без динамического содержимого, чтобы от дыр избавится полностью.

На чом написано? ;) Уж не буду про кем..

А причем тут ЯП?

А он тут вообще на первом месте! А на втором - обезьяна, которая его выбирает.

Вы на чем пишете? Покажите свой код

На Tcl, бугога!

Покажите, что вы на TCL написали.

Давай теперь ты показывай. Ой ты же совсем забыл что ты не программист!

Надо было писать на Rust.

Ловкий проход в раст защитан.

ВП еще жив?
Я думал прогрессивная общественность давно на пито/растах что-то новое сваяла!

Бум веб-движков остался в нулевых. Что касается пито/растов, то на них будут свои, пито/растские дыры.

А что сейчас в моде? Использовать фреймворки на каждый чих, чтобы больше лута на котегов собирать? Имея при этом больше половины готового своего и в виде либ. Этакий красивый развод на деньги? Не то что старперы, наплодили этих движков, да еще и модулей под 100500 задач и сидели на хлебе и воде. Голодранцы!
Так получается?

> пито/растские дыры.

*Пито/Растовые

На расте ничего не написано.

Дык и на питонах особо цмс популярных я не знаю.

Джанго, Фласк для модных aiohttp, больше ничего не нужно.

А давно джанга цмсом стала?

Всегда был. К aiohttp вопросов сильно больше.  

Aiohttp кстати топ, какие к нему вопросы?

Например почему он такой … асинхронный и что теперь с этим всем делать.

Кто был?
Что был?
Где был?
Django is a high-level Python web framework.
Так на оф сайте пишут. Врут?

про high-level точно врут.
Про цэмес не врут, ее еще на чудо-фреймворке написать надо.

Давно существует Django CMS. Погугли)

Серьезно?
Ну так-то  у зопы плоун существует.
Только где ВП и где вот это вот все...
Не сурьезно!

> Серьезно?

Там вопрос был про CMS на Django.

А что WP? С этого г*внища бегут на ту же Django, Hugo, etc.

Не совсем. Вопрос изначально был про цмс на пито/растах.

Вот у пыхарей есть всякие вп, жумлы, друпалы, типы3...тысячи их.
Написаны они с 0.
Вы же приводите совсем не релевантное сравнение. Цмс на джанго... такого и у жабаскриптеров добра на ноде хватает. БОльшая часть из которого депрекатед уже.

Всё есть на питоне просто ты не можешь этого понять так как пыхер.

Посоны, вы уж определитесь. То я пыхарь, то скрипты командного интерпретатора - мой потолок!
Вы меня уже запутали, чес слово.

> Не совсем. Вопрос изначально был про цмс на пито/растах.

Ок. Всё есть. Даже на Расте уже.

Списочек не дадите?
А если сразу с статистикой использования, то просто будет выше всяких похвал!

Причём тут дополнение если проблема не в нём?

Проблема в том, что из-за отсутствия должных проверок в обработчике heartbeat-запросов WordPress, при помощи специально оформленного запроса любой пользователь может получить информацию о последней резервной копии, которая в том числе включает сведения о времени и привязанной случайной последовательности.

Не рушь нам мир, вордпресс идеален. Пхп — лудшЭй! 1С — это сила!  

Так 1с - это битрахс. Тут же вроде ВП обсуждаем.
И таки да, из двух зол выбираем меньшее!

Да кто бы врал-то? Вы, рюйске, из двух зол всегда выберете самого Шайтана, если он вам пообещает на рупь дешевле. А поскольку вротпресс шва...бесплатен, то ежу понятно что вы выберете.

Пох, превед. Снова не приняли пилюлю по утру?
Мы выберем инструмент под задачу и бюджет.
Для сайта какой-нибудь конференции матанов - вротпресс.
Для инторнет барыг - битрахс.
Взрослый дядька, а все туда же. Аяяй.

Нет этого дополнения нет резервных копий.

Ну да, dump-то л@п4атые отменили.

>  Причём тут дополнение если проблема не в нём?

Дополнение тут при том, что проблема именно в нём.

CMS с излишнем контролем дополнений будет сильно их ограничивать, от чего пользователей и плагинов будет мало, а дыр -- столько же.
Поэтому во всех вменяемых CMS дополнения могут почти всё.
Поэтому WP -- вменяемая CMS, требующая ответственного сопровождения вменяемыми вебмастерами.

Дыр будет конечно же меньше.  А обвиняя плагины даже ты пытаясь неумело защитить дырковордпресс, только отбрасываешь на него еще большую тень. Даже в твоём манямирке важен результат. А результат написано в теме и в сотне точно таких же тем на тему дырок в вп в миллионе сайтов.

Стабильность признак мастерства.

И стабильные мастерские комментарии

Количество злорадствующих в комментах зашкаливает.

Поэтому надо заметить: большинство жалующихся -- недопрогеры, не способные осилить ни документацию, ни код WP, который прост и хорошо прокомментирован.
Основными аргументами данных граждан являются "а чё вы хотели за эти деньги?", "а чё вы хотели от WP?" и "а чё вы хотели, это же PHP!".

В ошибках данных людей виноват всегда интерпретатор, компилятор, используемые библиотеки, непонятная документация, техподдержка, хостеры, заказчик или государство.
Собственная белопушистость сомнению не подвергается никогда.

Таких много всегда и везде.
Поэтому игнорируйте недалёких, и будет вам счастье.

Посмотришь, что ты запоешь лет через 5ть, когда поймешь, что катить камень в гору зае... да и зачем?

Товарищ не в курсе что сайты на ВП делают один раз и никогда не поддерживают. А того кому ты заказал сделать сайт ты больше никогда не найдешь, хотя даже искать не будешь. Зачем всё же работает.

Если что-то и не работает или возникли новые идеи - ищется ДРУГОЙ (такой же точно первый попавшийся) голодный киевский вайтишник за 350 ржублей.

И, о чудо - он может разобраться что сделал предыдущий и допилить недостающее - вот ровно за тот мелкий прайс.

В этом, собственно, и заключается смысл использования вротпресса вместо васян-технологий на пихоне.
Когда что там понахреначено с использованием того джанка или как он там называется - не может понять через год никто, включая того самого васяна, если его каким-то чудом и удается привлечь.

Попытайся уже хотя бы сейчас в логику. Я понимаю, возраст, это сложно, но просто попробуй. Если для заказчика 350 рублей уже целая проблема. Зачем ему вообще кого-то искать? Контакты на сайте он и сам может поменять. Текст в своём бложике тоже. Если на сервер через ВП залезет зловред владельца сайта это будет беспокоить ровно никак. Велика вероятность что даже в админку сайта он больше никогда не зайдет. И ни за какую «поддержку» он как ты понимаешь никогда не заплатит.  И все равно заработает свои бабки, на каком-нибудь оффлайновом ремонте обуви.

Тот случай, когда название точно соответствует действительности.

Это надо себя максимально не уважать, чтобы использовать сторонние дополнения от васяна, вместо того чтобы пошевелить мозгами и написать самому.

Ваистену так!
А как насчет написать новый инторнет, свободный от смуззи/котегов и гуглов?

> Ваистену так!
> А как насчет написать новый инторнет, свободный от смуззи/котегов и гуглов?

ВНЕЗАПНО в крупных компаниях так и есть.

Речь не о том. А о противодействии монополизации гули.

Да он в день по гуглю пишет. Если, конечно, в этот день не пишет фейсбук - тогда получается только пол-гугля.

Пох, не хорошо говорить о человеке в третьем лице в его присутствии.

Вы сами придумали, или подсказал кто?

Вполне допустимый диалектизм

А если плагин идет в комплекте с темой. А тему ты просто нашел в инете. Сразу тебе могу ответить ты поставишь все по дефолту и никогда обновлять не будешь. И чтобы ты сейчас не говорил в реальности это будет так.  

> А если плагин идет в комплекте с темой.

Зачем ставить тему от васяна с не пойми каким количеством зондов? Ну а если хочется кастома, то будь добр найми дизайнера и верстальщика.

Она же КРАСИВАЯ, как же до тебя не дойдет.

Можно пойти дальше написать свою cms и свой jquery.
Ну а еще свою ОС и в гараже по ночам делать свои микросхемы, да что там микросхемы свои резисторы

Ставим плагин,вроде нет уязвимостей :D