J
https://bit.ly/3CxjK50 вот пример запроса, успешно выдающий ответ по первой ссылке
Size: a a a
2021 October 30
2021 October 31
D
Занимательная история о малограмотных кодерах https://www.opennet.ru/opennews/art.shtml?num=56073 большого сервиса.
АП
Такие уязвимости постоянно находят и сразу фиксят.
E
Но это не отменяет того факта, что ее эксплуатируют. + много кто отключает обновление плагинов. Были случаи когда обновление плагинов наоборот включало в себя бэкдор. Либо пользователь, которому сдали сайт не озадачивает себя обновлениями. Да и будем честными кто сидит и тратит свое время на анализ кода на уязвимости? В основном они всплывают, когда ее начинают массово эксплуатировать. И умолять этот факт ну хз)) Обновлять плагины — потенциально могут внедрить бэкдор. Ну а что. Плагин перестал приносить доход. Или никогда его не приносил. И разработчик принимает решение заработать не самым честным образом. Не обновлять плагины — тоже такая себе затея. Палка о двух концах)
J
умАлять)
J
Умолять точно бесполезно, не рекомендую
KD
Если речь о плагинах в репе, то за умышленно внедренные бэкдоры нещадно карают, вечным баном аккаунта.
KD
Так что если плагин из фо репы, то при обновлении можно нарваться на ошибку в безопасности, но никак не на умышленно внедренную уязвимость.
KD
Лучше плагины обновлять, потому что старые уязвимости исправляются под давлением wp.org plugin team.
KD
Недавний пример - уже месяц закрыт популярный плагин AnyComments
E
Ну хз. Что мешает зарегать новый аккаунт. Что мешает проанализировать аудиторию плагина, анализировать имеется ли форма банковских карт и массированно внедрить уязвимость в форму оплаты. Способов снять средства без смс и по сей день хватает.
E
Если овчинка выделки стоит, то думаю могут и пожертвовать аккаунтом)
KD
Авторов дрючат во все щели. А мы им говорили - следуйте стандартам кодирования wp, они вам массу дыр покажут.
KD
Любой плагин с нового акка проходит полную проверку
KD
Да и со старого тоже
KD
Обновления не проверяются, да. Но это пока . Скоро будет автомат на уязвимости
E
А если плагин тянет с левого домена / домена разработчика пайлоад и этот пейлоад станет доступным в день x?
E
Или на возможность его исполнения тоже проверяют?
KD
Так делать нельзя, в правилах написано