***GEEKS 3.0 ET VOS PASSIONS*** Index du Forum
***GEEKS 3.0 ET VOS PASSIONS***
FORUM DE PARTAGE ET D'ENTRAIDE
 
***GEEKS 3.0 ET VOS PASSIONS*** Index du ForumFAQRechercherS’enregistrerConnexion

:: Une faille PHP permet d'exécuter du code via Wordpress ::

 
Poster un nouveau sujet   Répondre au sujet    ***GEEKS 3.0 ET VOS PASSIONS*** Index du Forum -> ***BIENVENUE / WELCOME SUR VOTRE FORUM*** -> Informatique et Assistance -> Internet
Sujet précédent :: Sujet suivant  
Auteur Message
Romanus
Admin
Admin

Hors ligne

Inscrit le: 18 Mai 2007
Messages: 2 586
nul part Masculin Verseau (20jan-19fev)
Point(s): 2 225
Moyenne de points: 0,86

MessagePosté le: Mar 21 Aoû 2018 - 18:38    Sujet du message: Une faille PHP permet d'exécuter du code via Wordpress Répondre en citant

À la conférence Black Hat USA début août, le chercheur Sam Thomas a révélé une vulnérabilité ouvrant un large champ de possibilités. Elle réside dans la désérialisation de PHP, destinée à décoder des données, qui permet aussi d'initialiser des classes PHP via une chaine de caractères.
Elle concerne notamment Wordpress, le CMS le plus utilisé dans le monde. L'attaque consiste à créer une archive PHP (Phar), dont on change les 100 premiers octets pour obtenir un fichier JPEG valide. Ce dernier est ensuite mis en ligne sur un blog Wordpress, avec les identifiants d'un utilisateur.
La fonction de Wordpress qui génère les vignettes est ensuite appelée. En tentant de décoder le contenu de cette fausse image (en réalité un fichier Phar), elle exécute les potentiels appels vers les classes PHP présentes dans le logiciel.
La mise en ligne du faux fichier JPEG nécessite d'avoir les droits d'édition sur le blog Wordpress, ce qui passe par un compte Auteur (ou supérieur), dont il faut obtenir les identifiants.
La vulnérabilité a été signalée en février 2017, via la plateforme HackerOne. Elle ne serait pas encore corrigée.
D'autres CMS sont concernés, dont Typo3. Avertis le 9 juin, les développeurs ont rapidement comblé la faille dans les versions 7.6.30, 8.7.17 et 9.3, publiées trois jours plus tard. Pour The Register, le risque n'est pas si élevé que suggéré. La compromission complète du système ne serait pas envisageable par ce biais.


Source Nextinpact.com

_________________


@GeekRom94
#Geek #Gameur #esport #baguette #freedom

Un vrai free To play ! Télécharge ce jeux!
https://playtogether.worldofwarships.eu/invite/wO2Gq22


Revenir en haut
Visiter le site web du posteur
Publicité






MessagePosté le: Mar 21 Aoû 2018 - 18:38    Sujet du message: Publicité

PublicitéSupprimer les publicités ?
Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    ***GEEKS 3.0 ET VOS PASSIONS*** Index du Forum -> ***BIENVENUE / WELCOME SUR VOTRE FORUM*** -> Informatique et Assistance -> Internet Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  

Index | creer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Texno x0.3 © theme by Larme D'Ange 2006
Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : phpBB-fr.com