forum.opennet.ru - "Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster" (21)

"Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster"	+/–
Сообщение от opennews (??), 31-Окт-21, 09:22
В WordPress-дополнении OptinMonster, имеющем более миллиона активных установок и применяемом для организации вывода всплывающих уведомлений и предложений, выявлена уязвимость (CVE-2021-39341), позволяющая разместить свой JavaScript-код на сайте, использующем указанное дополнение. Уязвимость устранена в выпуске 2.6.5. Для блокирования доступа через захваченные ключи после установки обновления разработчики OptinMonster аннулировали все ранее созданные ключи доступа к API и добавили ограничения по использованию ключей WordPress-сайтов для изменения кампаний OptinMonster... Подробнее: https://www.opennet.me/opennews/art.shtml?num=56073
Ответить \| Правка \| Cообщить модератору

Оглавление

Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в п, Аноним (2), 09:25 , 31-Окт-21, (2) +13

Это для тупых людей, а таких много, очень много, настолько много, что это можно , Аноним (12), 10:28 , 31-Окт-21, (12) +8

К великому сожалению, - горькая правда Если бы эта назойливость не работала, е, OpenEcho (?), 12:35 , 31-Окт-21, (30) +1

Не соглашусь Офтопик не работает, но ее производят биллиардами , Аноним (38), 16:17 , 31-Окт-21, (38)

Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле, OpenEcho (?), 17:03 , 01-Ноя-21, (51)
Работает Чего бы не хотелось его ненавистникам , Тот_Самый_Анонимус (?), 10:47 , 04-Ноя-21, (56)

Миллион установок в мире вордпресса - не так и много Менее 5 от всех сайтов, и, Аноним (4), 09:36 , 31-Окт-21, (4) –1
Так это не уязвимость, это обычный бекдор , Урри (ok), 10:44 , 31-Окт-21, (13) +4
Как неожиданно , Аноним (18), 11:46 , 31-Окт-21, (18) –1

Да действительно, для CMS-ки, которая работает на 40 сайтов в сети, весьма неож, QwertyReg (ok), 12:26 , 31-Окт-21, (28) –3

Она же не на расте, значит в топку её Если бы она была на 100 сайтов и на раст, Аноним (35), 15:41 , 31-Окт-21, (35) +1

Не факт Можно и на С https www webtoolkit eu wt, Аноним (38), 16:21 , 31-Окт-21, (40)

Как это знакомо Ща пабыринькому прототип накидаем, основной функционал отработ, YetAnotherOnanym (ok), 11:59 , 31-Окт-21, (25) +4

Как бы 99 современного кода пишется именно таким образом , Аноним (29), 12:34 , 31-Окт-21, (29) +5

Может быть Но одно дело сначала реализовать основной функционал, а потом добави, YetAnotherOnanym (ok), 14:08 , 31-Окт-21, (32)

А кто потом деньги платить будет, когда сразу готовое выставишь , Akteon (?), 18:34 , 31-Окт-21, (44) +1

Скрыто модератором, Msgod (?), 18:21 , 31-Окт-21, (42) +2

Скрыто модератором, Аноним (45), 20:13 , 31-Окт-21, (45) +2

Скрыто модератором, Аноним (18), 23:58 , 31-Окт-21, (47)

Скрыто модератором, Аноним (18), 23:57 , 31-Окт-21, (46)

И название у плагина хорошее, и назначение - соответствует , Akteon (?), 18:32 , 31-Окт-21, (43) +3

Сообщения [Сортировка по времени | RSS]

2. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +13 +/–

Сообщение от Аноним (2), 31-Окт-21, 09:25

Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в поиске информации с поисковика. Предложение подписаться или чат, любые. Каждый раз проклинаю всех причастных и ухожу навсегда. Неужели это вызывает положительные эмоции у кого-то из посетителей?

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +8 +/–

Сообщение от Аноним (12), 31-Окт-21, 10:28

Это для тупых людей, а таких много, очень много, настолько много, что это можно считать нормой.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +1 +/–

Сообщение от OpenEcho (?), 31-Окт-21, 12:35

К великому сожалению, - горькая правда...
Если бы эта назойливость не работала, ее бы просто никто не производил.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +/–

Сообщение от Аноним (38), 31-Окт-21, 16:17

Не соглашусь. Офтопик не работает, но ее производят биллиардами.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +/–

Сообщение от OpenEcho (?), 01-Ноя-21, 17:03

> Не соглашусь. Офтопик не работает, но ее производят биллиардами.
Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле и мордакниге, то увидите, что Marketing - это основной источник дохода. Пипл очень ленив, даже искать что-то, что хотят, но проблема в том, что они даже не знают что они хотят, поэтому и работает на ура - "О-о-о, класс, хочу..."

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +/–

Сообщение от Тот_Самый_Анонимус (?), 04-Ноя-21, 10:47

Работает. Чего бы не хотелось его ненавистникам.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

4. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." –1 +/–

Сообщение от Аноним (4), 31-Окт-21, 09:36

Миллион установок в мире вордпресса - не так и много. Менее 5% от всех сайтов, использующих WP

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +4 +/–

Сообщение от Урри (ok), 31-Окт-21, 10:44

Так это не уязвимость, это обычный бекдор.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." –1 +/–

Сообщение от Аноним (18), 31-Окт-21, 11:46

> В WordPress-...
Как неожиданно!

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." –3 +/–

Сообщение от QwertyReg (ok), 31-Окт-21, 12:26

Да действительно, для CMS-ки, которая работает на 40% сайтов в сети, весьма неожиданно находить увизгвимости.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +1 +/–

Сообщение от Аноним (35), 31-Окт-21, 15:41

Она же не на расте, значит в топку её. Если бы она была на 100% сайтов и на расте то в ней всё равно бы не было уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +/–

Сообщение от Аноним (38), 31-Окт-21, 16:21

Не факт. Можно и на С https://www.webtoolkit.eu/wt

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +4 +/–

Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 11:59

> REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации
Как это знакомо! "Ща пабыринькому прототип накидаем, основной функционал отработаем, а контроль доступа, интернационализацию, поведение под перегрузкой и всякое такое потом прикрутим", потом - "Всё, прототип работает - можно в прод выкатывать".

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +5 +/–

Сообщение от Аноним (29), 31-Окт-21, 12:34

Как бы 99% современного кода пишется именно таким образом.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +/–

Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 14:08

Может быть. Но одно дело сначала реализовать основной функционал, а потом добавить все вспомогательные (но от этого ничуть не менее необходимые) возможности, а другое дело - выкатить побыстрее сырую поделку в прод и на этом успокоиться.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +1 +/–

Сообщение от Akteon (?), 31-Окт-21, 18:34

А кто потом деньги платить будет, когда сразу готовое выставишь ??

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

42. Скрыто модератором +2 +/–

Сообщение от Msgod (?), 31-Окт-21, 18:21

Когда уже пхп закопают. Этот шит давно не нужен, как и пердл. Как и цмс на них.

Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором +2 +/–

Сообщение от Аноним (45), 31-Окт-21, 20:13

Если бы WordPress со всеми своими плагинами из сомнительных источников были бы написаны на C++ или rust. Проблема бы никуда не делась. Проблема именно в сомнительных источниках кода, а не в языке. Если Вы думаете, что на Вашем любимом языке нельзя так накосячить, то глубоко заблуждаетесь.

Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором +/–

Сообщение от Аноним (18), 31-Окт-21, 23:58

> или rust. Проблема бы никуда не делась.
Странно... А растаманы по другому говорят...

Ответить | Правка | Наверх | Cообщить модератору

46. Скрыто модератором +/–

Сообщение от Аноним (18), 31-Окт-21, 23:57

> Когда уже пхп закопают. Этот шит
Похапэшники - самые низкооплачиваемые программисты. Так что никогда не закопают.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

43. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..." +3 +/–

Сообщение от Akteon (?), 31-Окт-21, 18:32

И название у плагина хорошее, и назначение - соответствует ..

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+13 +/–
Сообщение от Аноним (2), 31-Окт-21, 09:25
Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в поиске информации с поисковика. Предложение подписаться или чат, любые. Каждый раз проклинаю всех причастных и ухожу навсегда. Неужели это вызывает положительные эмоции у кого-то из посетителей?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+8 +/–
	Сообщение от Аноним (12), 31-Окт-21, 10:28
	Это для тупых людей, а таких много, очень много, настолько много, что это можно считать нормой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+1 +/–
	Сообщение от OpenEcho (?), 31-Окт-21, 12:35
	К великому сожалению, - горькая правда... Если бы эта назойливость не работала, ее бы просто никто не производил.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+/–
	Сообщение от Аноним (38), 31-Окт-21, 16:17
	Не соглашусь. Офтопик не работает, но ее производят биллиардами.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+/–
	Сообщение от OpenEcho (?), 01-Ноя-21, 17:03
	> Не соглашусь. Офтопик не работает, но ее производят биллиардами. Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле и мордакниге, то увидите, что Marketing - это основной источник дохода. Пипл очень ленив, даже искать что-то, что хотят, но проблема в том, что они даже не знают что они хотят, поэтому и работает на ура - "О-о-о, класс, хочу..."
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+/–
	Сообщение от Тот_Самый_Анонимус (?), 04-Ноя-21, 10:47
	Работает. Чего бы не хотелось его ненавистникам.
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору

4. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	–1 +/–
Сообщение от Аноним (4), 31-Окт-21, 09:36
Миллион установок в мире вордпресса - не так и много. Менее 5% от всех сайтов, использующих WP
Ответить \| Правка \| Наверх \| Cообщить модератору

13. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+4 +/–
Сообщение от Урри (ok), 31-Окт-21, 10:44
Так это не уязвимость, это обычный бекдор.
Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	–1 +/–
Сообщение от Аноним (18), 31-Окт-21, 11:46
> В WordPress-... Как неожиданно!
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	–3 +/–
	Сообщение от QwertyReg (ok), 31-Окт-21, 12:26
	Да действительно, для CMS-ки, которая работает на 40% сайтов в сети, весьма неожиданно находить увизгвимости.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+1 +/–
	Сообщение от Аноним (35), 31-Окт-21, 15:41
	Она же не на расте, значит в топку её. Если бы она была на 100% сайтов и на расте то в ней всё равно бы не было уязвимостей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+/–
	Сообщение от Аноним (38), 31-Окт-21, 16:21
	Не факт. Можно и на С https://www.webtoolkit.eu/wt
	Ответить \| Правка \| Наверх \| Cообщить модератору

25. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+4 +/–
Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 11:59
> REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации Как это знакомо! "Ща пабыринькому прототип накидаем, основной функционал отработаем, а контроль доступа, интернационализацию, поведение под перегрузкой и всякое такое потом прикрутим", потом - "Всё, прототип работает - можно в прод выкатывать".
Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+5 +/–
	Сообщение от Аноним (29), 31-Окт-21, 12:34
	Как бы 99% современного кода пишется именно таким образом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+/–
	Сообщение от YetAnotherOnanym (ok), 31-Окт-21, 14:08
	Может быть. Но одно дело сначала реализовать основной функционал, а потом добавить все вспомогательные (но от этого ничуть не менее необходимые) возможности, а другое дело - выкатить побыстрее сырую поделку в прод и на этом успокоиться.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+1 +/–
	Сообщение от Akteon (?), 31-Окт-21, 18:34
	А кто потом деньги платить будет, когда сразу готовое выставишь ??
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору

42. Скрыто модератором	+2 +/–
Сообщение от Msgod (?), 31-Окт-21, 18:21
Когда уже пхп закопают. Этот шит давно не нужен, как и пердл. Как и цмс на них.
Ответить \| Правка \| Наверх \| Cообщить модератору


	45. Скрыто модератором	+2 +/–
	Сообщение от Аноним (45), 31-Окт-21, 20:13
	Если бы WordPress со всеми своими плагинами из сомнительных источников были бы написаны на C++ или rust. Проблема бы никуда не делась. Проблема именно в сомнительных источниках кода, а не в языке. Если Вы думаете, что на Вашем любимом языке нельзя так накосячить, то глубоко заблуждаетесь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. Скрыто модератором	+/–
	Сообщение от Аноним (18), 31-Окт-21, 23:58
	> или rust. Проблема бы никуда не делась. Странно... А растаманы по другому говорят...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. Скрыто модератором	+/–
	Сообщение от Аноним (18), 31-Окт-21, 23:57
	> Когда уже пхп закопают. Этот шит Похапэшники - самые низкооплачиваемые программисты. Так что никогда не закопают.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору

43. "Уязвимость, допускающая подстановку JavaScript-кода через Wo..."	+3 +/–
Сообщение от Akteon (?), 31-Окт-21, 18:32
И название у плагина хорошее, и назначение - соответствует ..
Ответить \| Правка \| Наверх \| Cообщить модератору