{"id":115,"date":"2017-05-13T16:30:39","date_gmt":"2017-05-13T13:30:39","guid":{"rendered":"http:\/\/ottd.one\/?p=115"},"modified":"2017-05-13T16:30:39","modified_gmt":"2017-05-13T13:30:39","slug":"uyazvimost-wordpress-cve-2017-8295","status":"publish","type":"post","link":"https:\/\/ipcalc.co\/blog\/uyazvimost-wordpress-cve-2017-8295\/","title":{"rendered":"\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c WordPress (CVE-2017-8295)"},"content":{"rendered":"<p><span id=\"result_box\" class=\"\" lang=\"ru\"><span title=\"WordPress, the most popular CMS in the world, is vulnerable to a logical vulnerability that could allow a remote attacker to reset targeted users\u2019 password under certain circumstances.\n\n\">WordPress, \u0441\u0430\u043c\u0430\u044f \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0430\u044f CMS \u0432 \u043c\u0438\u0440\u0435, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0431\u044b\u043b\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c. \u0421\u0443\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043e\u0448\u0438\u0431\u043a\u0438 \u0432 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0435 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u0430\u0440\u043e\u043b\u044f WordPress. \u041a\u043e\u0433\u0434\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u0435\u0442 \u0442\u0430\u043a\u0443\u044e \u0441\u043c\u0435\u043d\u0443, WordPress \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u0439 \u0441\u0435\u043a\u0440\u0435\u0442\u043d\u044b\u0439 \u043a\u043e\u0434 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0435\u0433\u043e \u043d\u0430 email, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 \u0431\u0430\u0437\u0435.<br \/>\n<\/span><\/span><\/p>\n<p><span id=\"result_box\" class=\"\" lang=\"ru\"><span title=\"The vulnerability (CVE-2017-8295) becomes even more dangerous after knowing that it affects all versions of WordPress \u2014 including the latest 4.7.4 version.\n\n\">\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c (CVE-2017-8295) \u0432\u043b\u0438\u044f\u0435\u0442 \u043d\u0430 \u0432\u0441\u0435 \u0432\u0435\u0440\u0441\u0438\u0438 WordPress, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u044e\u044e \u0432\u0435\u0440\u0441\u0438\u044e 4.7.4. <span title=\"The WordPress flaw was discovered by Polish security researcher Dawid Golunski of Legal Hackers last year in July and reported it to the WordPress security team, who decided to ignore this issue, leaving millions of websites vulnerable.\n\n\u00a0\u00a0\u00a0\u00a0\">\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0432 WordPress \u0431\u044b\u043b\u0430 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 \u041f\u043e\u043b\u044c\u0441\u043a\u0438\u043c \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u043c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0414\u0430\u0443\u0434\u043e\u043c \u0413\u043e\u043b\u0443\u043d\u0441\u043a\u0438 (Dawid Golunski ) \u0438\u0437 Legal Hackers \u0432 \u043f\u0440\u043e\u0448\u043b\u043e\u043c \u0433\u043e\u0434\u0443 \u0432 \u0438\u044e\u043b\u0435. \u041e\u043d \u0441\u043e\u043e\u0431\u0449\u0438\u043b \u043e\u0431 \u044d\u0442\u043e\u043c \u043a\u043e\u043c\u0430\u043d\u0434\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 WordPress, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0440\u0435\u0448\u0438\u043b\u0430 \u043f\u0440\u043e\u0438\u0433\u043d\u043e\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u044d\u0442\u0443 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443, \u043e\u0441\u0442\u0430\u0432\u0438\u0432 \u043c\u0438\u043b\u043b\u0438\u043e\u043d\u044b \u0441\u0430\u0439\u0442\u043e\u0432 \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u043c\u0438.<\/span><br \/>\n<\/span><\/span><\/p>\n<blockquote><p><span id=\"result_box\" class=\"\" lang=\"ru\"><span title=\"The WordPress flaw was discovered by Polish security researcher Dawid Golunski of Legal Hackers last year in July and reported it to the WordPress security team, who decided to ignore this issue, leaving millions of websites vulnerable.\n\n\u00a0\u00a0\u00a0\u00a0\">&#8220;<\/span><span title=\"&quot;This issue has been reported to WordPress security team multiple times with the first report sent back in July 2016. It was reported both directly via security contact email, as well as via HackerOne website,&quot; Golunski wrote in an advisory published today.\">\u042d\u0442\u0430 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u043d\u0435\u043e\u0434\u043d\u043e\u043a\u0440\u0430\u0442\u043d\u043e \u0441\u043e\u043e\u0431\u0449\u0430\u043b\u0430\u0441\u044c \u0432 \u0433\u0440\u0443\u043f\u043f\u0443 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 WordPress. \u041f\u0435\u0440\u0432\u044b\u0439 \u043e\u0442\u0447\u0435\u0442 \u0431\u044b\u043b \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d \u0432 \u0438\u044e\u043b\u0435 2016 \u0433\u043e\u0434\u0430. \u041e\u0431 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0441\u043e\u043e\u0431\u0449\u0430\u043b\u043e\u0441\u044c \u043a\u0430\u043a \u043d\u0435\u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0447\u0435\u0440\u0435\u0437 \u043a\u043e\u043d\u0442\u0430\u043a\u0442\u043d\u044b\u0439 \u0430\u0434\u0440\u0435\u0441 \u0441\u043b\u0443\u0436\u0431\u044b \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438, \u0442\u0430\u043a \u0438 \u0447\u0435\u0440\u0435\u0437 \u0432\u0435\u0431-\u0441\u0430\u0439\u0442 HackerOne&#8221;, &#8211; \u043d\u0430\u043f\u0438\u0441\u0430\u043b \u0413\u043e\u043b\u0443\u043d\u0441\u043a\u0438\u0439.<\/span><\/span><\/p><\/blockquote>\n<hr \/>\n<h2>\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043e\u0431 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438<\/h2>\n<p>\u041f\u0440\u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0435 \u044d\u0442\u043e\u0433\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0438\u043c\u0435\u043d\u0438 \u0445\u043e\u0441\u0442\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f SERVER_NAME \u2014 \u044d\u0442\u043e \u043d\u0443\u0436\u043d\u043e, \u0447\u0442\u043e\u0431\u044b \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0432 \u043f\u043e\u043b\u044f From\/Return-Path. \u0412 \u043f\u043e\u043b\u0435 \u00abFrom\u00bb \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0430\u0434\u0440\u0435\u0441 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044f, \u0430 \u0432 \u00abReturn-Path\u00bb \u2014 \u0430\u0434\u0440\u0435\u0441, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u043e\u043b\u0436\u043d\u044b \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f &#8216;bounce-back&#8217;, \u043e\u043d\u0438 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441\u0431\u043e\u044f \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438.<\/p>\n<p><span itemprop=\"image\" itemscope itemtype=\"https:\/\/schema.org\/ImageObject\"><img itemprop=\"url image\" loading=\"lazy\" class=\"alignnone size-full wp-image-116\" src=\"http:\/\/ottd.one\/wp-content\/uploads\/2017\/05\/wordpress-admin-password-reset-hacking.png\" alt=\"\" width=\"728\" height=\"340\" \/><meta itemprop=\"width\" content=\"728\"><meta itemprop=\"height\" content=\"340\"><\/span><\/p>\n<p><span id=\"result_box\" class=\"\" lang=\"ru\"><span class=\"\">\u041f\u043e \u0441\u043b\u043e\u0432\u0430\u043c \u0413\u043e\u043b\u0443\u043d\u0441\u043a\u0438, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043c\u043e\u0436\u0435\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 HTTP-\u0437\u0430\u043f\u0440\u043e\u0441 \u0441 \u043f\u0440\u0435\u0434\u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\u043c hostname (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, attacker-mxserver.com) \u0438 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0438\u043d\u0438\u0446\u0438\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0441\u0431\u0440\u043e\u0441\u0430 \u043f\u0430\u0440\u043e\u043b\u044f \u0434\u043b\u044f \u043a\u0430\u043a\u043e\u0433\u043e-\u043b\u0438\u0431\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u2014 \u043a \u043f\u0440\u0438\u043c\u0435\u0440\u0443, \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0441\u0430\u0439\u0442\u0430.<\/p>\n<p>\u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0438\u043c\u044f \u0445\u043e\u0441\u0442\u0430 \u0432 HTTP-\u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u2014 \u044d\u0442\u043e \u0434\u043e\u043c\u0435\u043d, \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u044e\u0449\u0438\u0439\u0441\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u043c, \u043f\u043e\u043b\u044f From \u0438 Return-Path \u0432 \u043f\u0438\u0441\u044c\u043c\u0435 \u0434\u043b\u044f \u0441\u0431\u0440\u043e\u0441\u0430 \u043f\u0430\u0440\u043e\u043b\u044f \u0431\u0443\u0434\u0443\u0442 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u044b \u0442\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0447\u0442\u043e \u0432 \u043d\u0438\u0445 \u0431\u0443\u0434\u0435\u0442 \u0432\u043a\u043b\u044e\u0447\u0435\u043d \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0439 \u0430\u0434\u0440\u0435\u0441, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0439 \u0441 \u0434\u043e\u043c\u0435\u043d\u043e\u043c \u0445\u0430\u043a\u0435\u0440\u0430 \u2014 \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <code>wordpress@attacker-mxserver.com<\/code> \u0432\u043c\u0435\u0441\u0442\u043e <code>wordpress@victim-domain.com<\/code>. <\/span><\/span><\/p>\n<p><span class=\"\" lang=\"ru\">\u041f\u0438\u0441\u044c\u043c\u043e \u0441 \u043a\u043e\u0434\u043e\u043c \u0434\u043b\u044f \u0441\u0431\u0440\u043e\u0441\u0430 \u043f\u0430\u0440\u043e\u043b\u044f \u0431\u0443\u0434\u0435\u0442 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043e \u043d\u0430 \u0430\u0434\u0440\u0435\u0441 \u0436\u0435\u0440\u0442\u0432\u044b, \u043e\u0434\u043d\u0430\u043a\u043e \u043f\u0440\u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u0443\u0441\u043b\u043e\u0432\u0438\u044f\u0445 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0435\u0433\u043e \u0441\u043c\u043e\u0436\u0435\u0442 \u0438 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439.<\/p>\n<p><\/span><\/p>\n<ol>\n<li>\u0415\u0441\u043b\u0438 \u0436\u0435\u0440\u0442\u0432\u0430 \u043e\u0442\u0432\u0435\u0442\u0438\u0442 \u043d\u0430 \u043f\u0438\u0441\u044c\u043c\u043e, \u0442\u043e \u043e\u0442\u0432\u0435\u0442 \u0443\u0436\u0435 \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d \u043d\u0430 \u0430\u0434\u0440\u0435\u0441 \u0432\u0437\u043b\u043e\u043c\u0449\u0438\u043a\u0430 (\u0442\u0435\u043f\u0435\u0440\u044c \u043e\u043d \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 \u043f\u043e\u043b\u0435 From), \u0430 \u0432 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u043a\u0438 \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u0441\u0431\u0440\u043e\u0441 \u043f\u0430\u0440\u043e\u043b\u044f.<\/li>\n<li>\u0415\u0441\u043b\u0438 \u043f\u043e \u043a\u0430\u043a\u043e\u0439-\u0442\u043e \u043f\u0440\u0438\u0447\u0438\u043d\u0435 \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0430 \u043f\u0438\u0441\u044c\u043c\u0430 \u0436\u0435\u0440\u0442\u0432\u0435 \u043d\u0435 \u0443\u0434\u0430\u0441\u0442\u0441\u044f, \u0442\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u043e \u0441\u0431\u043e\u0435 \u0431\u0443\u0434\u0435\u0442 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043e \u043d\u0430 \u0430\u0434\u0440\u0435\u0441 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 (\u043e\u043d \u0443\u043a\u0430\u0437\u0430\u043d \u0432 Return-Path).<\/li>\n<li>\u0414\u0440\u0443\u0433\u043e\u0439 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u2014 \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u043d\u0435 \u0431\u044b\u043b\u043e \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043e \u0436\u0435\u0440\u0442\u0432\u0435, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 DDoS-\u0430\u0442\u0430\u043a\u0443 \u043d\u0430 email-\u0441\u0435\u0440\u0432\u0435\u0440 \u0446\u0435\u043b\u0435\u0432\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0438\u043b\u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u0435\u0433\u043e \u0430\u0434\u0440\u0435\u0441 \u0431\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043f\u0438\u0441\u0435\u043c, \u0434\u043e\u0431\u0438\u0432\u0448\u0438\u0441\u044c \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0439 \u0430\u0434\u0440\u0435\u0441 \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435 \u0441\u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0442\u044c \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043f\u0440\u043e\u0438\u0437\u043e\u0439\u0434\u0435\u0442 \u0441\u0431\u043e\u0439 \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438, \u0438 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u043e\u0431 \u044d\u0442\u043e \u0431\u0443\u0434\u0435\u0442 \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043e \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u043c\u0443.<\/li>\n<\/ol>\n<blockquote><p><span id=\"result_box\" class=\"\" lang=\"ru\"><span class=\"\">\u00ab\u0410\u0442\u0430\u043a\u0430 CVE-2017-8295 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0430 \u043a\u0430\u043a \u043f\u0440\u0438 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0438 \u0441 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u043c (\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043d\u0430\u0436\u0438\u043c\u0430\u0435\u0442 \u043d\u0430 \u043a\u043d\u043e\u043f\u043a\u0443\u00ab Reply\u00bb), \u0442\u0430\u043a \u0438 \u0431\u0435\u0437 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0441 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u043c (\u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0439 \u044f\u0449\u0438\u043a \u0436\u0435\u0440\u0442\u0432\u044b \u043f\u0440\u0435\u0432\u044b\u0448\u0430\u0435\u0442\u00a0 \u043a\u0432\u043e\u0442\u0443 \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f)\u00bb, &#8211; \u0441\u043a\u0430\u0437\u0430\u043b \u0413\u043e\u043b\u0443\u0431\u0441\u043a\u0438\u0439 The Hacker News<\/span> <span class=\"\">\u0412 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u043c \u043f\u0438\u0441\u044c\u043c\u0435.<\/span><\/span><\/p><\/blockquote>\n<p>\u041c\u0430\u043d\u0438\u043f\u0443\u043b\u044f\u0446\u0438\u0438 \u0441 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u043c SERVER_NAME \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e HTTP-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 Host \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u0435\u043d\u044b \u043d\u0430 \u00ab\u0434\u0435\u0444\u043e\u043b\u0442\u043d\u044b\u0445\u00bb \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u0445 \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 Apache, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0447\u0430\u0449\u0435 \u0432\u0441\u0435\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f WordPress.<\/p>\n<p><strong><span id=\"result_box\" class=\"\" lang=\"ru\"><span class=\"\">PoC HTTP-\u0437\u0430\u043f\u0440\u043e\u0441:<\/span><\/span><\/strong><\/p>\n<pre class=\"lang:default decode:true  \">POST \/wp\/wordpress\/wp-login.php?action=lostpassword HTTP\/1.1\nHost: injected-attackers-mxserver.com\nContent-Type: application\/x-www-form-urlencoded\nContent-Length: 56\nuser_login=admin&amp;redirect_to=&amp;wp-submit=Get+New+Password<\/pre>\n<hr \/>\n<h2>\u041a\u0430\u043a \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f<\/h2>\n<p>\u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0430\u0442\u0447\u0430 \u0434\u043b\u044f \u0437\u0430\u043a\u0440\u044b\u0442\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043d\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442, \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432 \u0441\u0430\u0439\u0442\u043e\u0432 \u043d\u0430 WordPress \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f \u043e\u0431\u043d\u043e\u0432\u0438\u0442\u044c \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e, \u0430\u043a\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u0432 \u043e\u043f\u0446\u0438\u044e <a href=\"https:\/\/httpd.apache.org\/docs\/2.4\/mod\/core.html#usecanonicalname\">UseCanonicalName <\/a>\u2014 \u044d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 SERVER_NAME \u0438 \u0441\u0434\u0435\u043b\u0430\u0435\u0442 \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u0430\u0442\u0430\u043a\u0438 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u043c.<\/p>\n<hr \/>\n<p>\u0418\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438:<\/p>\n<ul>\n<li><a href=\"https:\/\/habrahabr.ru\/company\/pt\/blog\/328520\/\">https:\/\/habrahabr.ru\/company\/pt\/blog\/328520\/<\/a><\/li>\n<li><a href=\"http:\/\/thehackernews.com\/2017\/05\/hacking-wordpress-blog-admin.html\">http:\/\/thehackernews.com\/2017\/05\/hacking-wordpress-blog-admin.html<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>WordPress, \u0441\u0430\u043c\u0430\u044f \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0430\u044f CMS \u0432 \u043c\u0438\u0440\u0435, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0431\u044b\u043b\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c. \u0421\u0443\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043e\u0448\u0438\u0431\u043a\u0438 \u0432 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0435 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u0430\u0440\u043e\u043b\u044f WordPress. \u041a\u043e\u0433\u0434\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u0435\u0442 \u0442\u0430\u043a\u0443\u044e \u0441\u043c\u0435\u043d\u0443,&#8230;<\/p>\n","protected":false},"author":1,"featured_media":117,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[4,6],"tags":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v15.4 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c WordPress (CVE-2017-8295) - IPCalc Blog<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/ipcalc.co\/blog\/uyazvimost-wordpress-cve-2017-8295\/\" \/>\n<meta property=\"og:locale\" content=\"ru_RU\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c WordPress (CVE-2017-8295) - IPCalc Blog\" \/>\n<meta property=\"og:description\" content=\"WordPress, \u0441\u0430\u043c\u0430\u044f \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0430\u044f CMS \u0432 \u043c\u0438\u0440\u0435, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0431\u044b\u043b\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c. \u0421\u0443\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043e\u0448\u0438\u0431\u043a\u0438 \u0432 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0435 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u0430\u0440\u043e\u043b\u044f WordPress. \u041a\u043e\u0433\u0434\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0437\u0430\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u0435\u0442 \u0442\u0430\u043a\u0443\u044e \u0441\u043c\u0435\u043d\u0443,...\" \/>\n<meta property=\"og:url\" content=\"https:\/\/ipcalc.co\/blog\/uyazvimost-wordpress-cve-2017-8295\/\" \/>\n<meta property=\"og:site_name\" content=\"IPCalc Blog\" \/>\n<meta property=\"article:published_time\" content=\"2017-05-13T13:30:39+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/ipcalc.co\/blog\/wp-content\/uploads\/2016\/02\/screen-982-screen-FGD-11-ru-300x163.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"300\" \/>\n\t<meta property=\"og:image:height\" content=\"163\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u041d\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u0430\u0432\u0442\u043e\u0440\u043e\u043c\">\n\t<meta name=\"twitter:data1\" content=\"admin\">\n\t<meta name=\"twitter:label2\" content=\"\u041f\u0440\u0438\u043c\u0435\u0440\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f\">\n\t<meta name=\"twitter:data2\" content=\"0 \u043c\u0438\u043d\u0443\u0442\">\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebSite\",\"@id\":\"https:\/\/ipcalc.co\/blog\/#website\",\"url\":\"https:\/\/ipcalc.co\/blog\/\",\"name\":\"IPCalc Blog\",\"description\":\"\\u041f\\u043e\\u043b\\u0437\\u0435\\u043d\\u044b\\u0435 \\u0441\\u043a\\u0440\\u0438\\u043f\\u0442\\u044b, \\u043a\\u043e\\u043d\\u0444\\u0438\\u0433\\u0438 \\u0438 \\u043c\\u043d\\u043e\\u0433\\u043e\\u0435 \\u0434\\u0440\\u0443\\u0433\\u043e\\u0435\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":\"https:\/\/ipcalc.co\/blog\/?s={search_term_string}\",\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"ru-RU\"},{\"@type\":\"ImageObject\",\"@id\":\"https:\/\/ipcalc.co\/blog\/uyazvimost-wordpress-cve-2017-8295\/#primaryimage\",\"inLanguage\":\"ru-RU\",\"url\":\"https:\/\/ipcalc.co\/blog\/wp-content\/uploads\/2016\/02\/screen-982-screen-FGD-11-ru-300x163.jpg\",\"width\":300,\"height\":163,\"caption\":\"\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/ipcalc.co\/blog\/uyazvimost-wordpress-cve-2017-8295\/#webpage\",\"url\":\"https:\/\/ipcalc.co\/blog\/uyazvimost-wordpress-cve-2017-8295\/\",\"name\":\"\\u0423\\u044f\\u0437\\u0432\\u0438\\u043c\\u043e\\u0441\\u0442\\u044c WordPress (CVE-2017-8295) - IPCalc Blog\",\"isPartOf\":{\"@id\":\"https:\/\/ipcalc.co\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/ipcalc.co\/blog\/uyazvimost-wordpress-cve-2017-8295\/#primaryimage\"},\"datePublished\":\"2017-05-13T13:30:39+00:00\",\"dateModified\":\"2017-05-13T13:30:39+00:00\",\"author\":{\"@id\":\"https:\/\/ipcalc.co\/blog\/#\/schema\/person\/995e074baefb3871a51b718fd5de412a\"},\"inLanguage\":\"ru-RU\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/ipcalc.co\/blog\/uyazvimost-wordpress-cve-2017-8295\/\"]}]},{\"@type\":\"Person\",\"@id\":\"https:\/\/ipcalc.co\/blog\/#\/schema\/person\/995e074baefb3871a51b718fd5de412a\",\"name\":\"admin\",\"image\":{\"@type\":\"ImageObject\",\"@id\":\"https:\/\/ipcalc.co\/blog\/#personlogo\",\"inLanguage\":\"ru-RU\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/937f7cf83eb4581f64861b93fe484e16?s=96&d=mm&r=g\",\"caption\":\"admin\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","_links":{"self":[{"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/posts\/115"}],"collection":[{"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/comments?post=115"}],"version-history":[{"count":0,"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/posts\/115\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/media\/117"}],"wp:attachment":[{"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/media?parent=115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/categories?post=115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ipcalc.co\/blog\/wp-json\/wp\/v2\/tags?post=115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}